En la conferencia Hack In The Box celebrada en Holanda, el ingeniero español Jose Antonio Guasch ha mostrado un mapa que incluye algunos de los más de 40 sistemas que ha encontrado muy fáciles de hackear. Para hacerlo solo es necesario conocer el nombre de la empresa que desarrolla los equipos conectados y el parking que lo incluye. La seguridad es mínima y según este experto en seguridad, muy fácil de esquivar.
Una vez que el sistema del parking es accesible, el intruso tiene en sus manos el control de las barreras, la gestión de los tickets e incluso los datos de las tarjetas de crédito de los usuarios del parking. Por si fuera poco, las cámaras de seguridad tanto de las zonas de trabajadores como de las abiertas al público quedan a su disposición.
Sistemas conectados en los que no se ha pensado en la seguridad
Según Guasch, el sistema de cámaras, cajeros y todo el sistema conectado que usan estos parkings ha sido diseñado sin prestar atención a la seguridad. No al menos más allá de algo básico y fácilmente vulnerable. El mapa que ha creado muestra las decenas de parkings que ha encontrado vulnerables tanto en Europa como en Australia. En España salen 4 sistemas de gestión vulnerables que suponen decenas de parkings por todo el territorio.
Ese mapa no ha sido desvelado ni tampoco da detalles o las herramientas utilizadas para localizar a los parkings fácilmente hackeables. Pero sí comenta que tras tratar de ponerse en contacto sin éxito con los responsables de dichos establecimientos en España, optó por informar a la Guardia Civil.
El principal fallo de seguridad encontrado por este ingeniero fue una carpeta pública donde se encontraban las copias de seguridad de sistema, incluyendo los nombres de usuario y contraseñas de los trabajadores. A partir de ahí, entrar al sistema como un trabajador más fue sencillo, y le permitió tomar el control de barreras, cámaras o crear abonos de parking por el tiempo que hubiera querido. También es el camino para que intrusos puedan insertar código malicioso en los cajeros para hacerse con los datos bancarios y de tarjetas de los abonados o usuarios de estos parkings.
Ver 11 comentarios