Cientos de gasolineras en España y miles en total en otros países son completamente vulnerables a ataques informáticos que, entre otras cosas, podrían poner en riesgo la seguridad de sus tanques de combustible. Un experto en seguridad ha destapado el fallo. Lo más grave: en España, por ejemplo, ni autoridades ni petroleras han solucionado aún el problema.
El agujero de seguridad lo destapó a finales de marzo Amador Aparicio, ingeniero superior en informática y especialista en seguridad. Su hallazgo, detallado por él mismo en un artículo en el blog Security by Default, fue preocupante: por descuido o negligencia profesional, muchas gasolineras tienen su propia red privada conectada a Internet y, lo grave, completamente desprotegida. A esta red interna se conectan todos sus sistemas, desde la caja registradora a los dispositivos de monitorización de los tanques de combustible. Aparicio descubrió no solo que la red está conectada a Internet y que los envíos de datos no están cifrados, sino que el acceso a sistemas críticos ni siquiera está protegido con una simple contraseña y nombre de usuario. Pudo entrar hasta la cocina, desde las cámaras de vigilancia o el TPV para cobrar a los clientes, hasta los sistemas de control de los tanques de combustible. De hecho, cualquier persona con mínimos conocimientos informáticos puede acceder y manipular a placer los sistemas de la gasolinera con consecuencias potencialmente muy graves.
Amador lo explica en conversación telefónica con Gizmodo en Español:
El fallo permite, por ejemplo, manipular el sistema de alarmas de los tanques de combustible. Cada gasolinera tiene unos tanques donde almacena combustible. Estos cuentan con dispositivos que monitorizan el estado de los tanques, su temperatura, si tienen gasolina o gasóleo, cuánto queda… Puedes entrar y desactivar sin problema las alarmas, como las de temperatura. Si la temperatura del tanque empieza a subir por un fallo técnico, el operario no recibiría ninguna alarma. Imagínate qué pasaría…
Desde luego, nada bueno.
¿Cómo es posible?
Amador destapó el problema partiendo de búsquedas en Shodan, un buscador que permite encontrar dispositivos (routers, servidores…) conectados a Internet. Buscó primero por un tipo de conversor utilizado en las gasolineras para enviar los datos desde los tanques de combustible al PC de un operario (en concreto, un conversor a Ethernet del tipo GC-NET2 32-DTE). Bingo. Encontró una lista de gasolineras que lo utilizaban.
“Luego probé a buscar cuáles de estos conversores se conectaban al servicio Telnet para monitorizar los tanques en remoto, sin tener que acudir físicamente a la gasolinera. La sorpresa fue que hay decenas de gasolineras con estos equipos conectados a Internet y, además, no utilizan ni usuario ni contraseña. Habían dejado la configuración por defecto del sistema. Basta descargarte el manual de Internet, ver cuál es la configuración por defecto y entrar hasta la cocina”, explica.
Dicho y hecho. Pudo abrir sin problemas la consola de control que permite cambiar todos los parámetros y alertas de control de los tanques de combustible. Debajo, un pantallazo del sistema de una gasolinera en España conectado al servicio Telnet y sin securizar, completamente abierto a cualquiera (las IPs y datos críticos de identificación han sido tapados):
Debajo otro pantallazo obtenido esta misma semana en el que se ha accedido al control de las alertas de un tanque de combustible, conectado a Internet, sin cifrado y sin contraseñas y usuario, completamente abierto. Los campos “trigger input”, “message” o “priority” permiten configurar las alertas en casos de emergencia:
Amador no es el único que ha comprobado la vulnerabilidad. Javier Olmedo, programador y técnico informático, leyó el artículo de Aparicio y decidió probar por su cuenta. “Al buscar encontré al menos 400 gasolineras en España que están completamente sin securizar. Unas eran vulnerables a la monitorización de los tanques, otras ademas permitían modificar los niveles o hacer saltar alarmas por fugas (aunque realmente todo estuviese correcto), y otras acceder a cámaras de seguridad o a los servidores”, explica Javier por email a Gizmodo en Español.
Olmedo pudo comprobar, paso por paso, que el descubrimiento de Amador era tan preocupante como cierto. “Y la vulnerabilidad de los tanques no es la única”, dice Amador.
Al tener su red privada conectada a Internet y sin securizar, cualquier dispositivo que esté conectado a esa red es vulnerable. Pude acceder a las cámaras IP de seguridad y ver en tiempo real a la gente pagando o echando gasolina en el surtidor. Pude comprobar que varias estaciones de servicio tienen instalado Windows XP, sistema al que Microsoft ya no ofrece soporte desde hace un año. Y lo peor: tienen activado el escritorio remoto con los puertos abiertos. Es decir, cualquiera puede entrar y robar los datos de los clientes que han pagado con tarjeta, por ejemplo, o las imágenes de las cámaras de seguridad y subirlas a YouTube.
Traducido: un auténtica vergüenza, un caos de seguridad y privacidad en unas infraestructuras tan sensibles como las gasolineras.
En España hay en la actualidad unas 10.600 estaciones de servicio. Aparicio desconoce cuántas son vulnerables a ataques informáticos por este fallo, pero cree que el número es considerable. Prefiere no revelar el nombre de las compañías de las gasolineras afectadas, pero dice suficiente: “pertenecen a casi todas las compañías petroleras, entre ellas las principales del país”.
Repsol: “no vamos a comentar nada”
Tras el hallazgo, Aparicio contactó en España con el Grupo de Delitos Telemáticos de la Guardia Civil. A través de diversos contactos lo puso en conocimiento de capitán del grupo,César Lorenzana. Sin embargo, parece que el asunto se ha quedado olvidado en la mesa de algún despacho. El Grupo de Delitos Telemáticos de la Guardia Civil asegura a través de su portavoz que no tienen constancia de ninguna denuncia oficial sobre el tema.
“Desconocemos cuál es la situación. Para que la denuncia nos conste oficialmente se debe realizar mediante un procedimiento determinado. Quizás se ha trasladado a algún miembro del grupo de manera informal, en conversaciones privadas”, asegura telefónicamente el portavoz del Grupo de Delitos Telemáticos de la Guardia Civil. Hemos tratado de contactar repetidamente con el capitán César Lorenzana, sin éxito.
Sorprendentemente, el asunto tampoco ha hecho saltar las alarmas de las compañías petroleras. Gizmodo en Español ha podido confirmar que entre las gasolineras afectadas están estaciones de servicio de Repsol y Campsa. ¿Cómo es posible que un agujero de seguridad tan básico y tan grave no haya sido detectado y solucionado por las compañías? “Contamos con las máximas medidas de seguridad en todas nuestras instalaciones”, dice un portavoz de Repsol en conversación telefónica.
Claramente, la respuesta debe tratarse de una broma: el fallo de seguridad confirma justo lo contrario, que no cuentan con todas las medidas de seguridad necesarias. “No todas las estaciones de servicio de Repsol son propiedad nuestra, muchas son franquicias”, explica la compañía. Aún así, están bajo su marca. ¿No hay unos procedimientos básicos de auditoría de seguridad? ¿Cómo se explica un fallo así? “No vamos a comentar nada”.
Más allá de la burocracia y de compañías tratando de salvar su imagen, la realidad es bastante más serie y urgente. Ahora mismo los sistemas de cientos de gasolineras en España (y otros países) siguen destripados, abiertos a cualquier que quiera manipularlos. Hasta que no lo solucionen, la próxima vez que vayas a una gasolinera recuerda: alguien puede estar robando los datos de la tarjeta con la que acabas de pagar, grabándote desde la cámara de seguridad, o manipulando el tanque de combustible justo debajo de tus pies.
Fuente:http://es.gizmodo.com/