Chile
ESET presentó su análisis sobre los riesgos de seguridad a los que están expuestos los edificios inteligentes; una infraestructura que crece y que parece estar en el blanco de los cibercriminales.
Los edificios inteligentes utilizan tecnología para controlar distintas dinámicas con el objetivo de brindar mayor confort contribuir a la salud y a la productividad de quienes habitan en ellos. Para realizar esto utilizan Sistemas de Automatización de Edificios (en inglés como BAS). Con la llegada del Internet de las cosas (IoT) los edificios inteligentes se redefinieron y el equipamiento tecnológico permite analizar predecir diagnosticar y mantener los distintos ambientes así como automatizar procesos y monitorear en tiempo real variables como la temperatura de los ambientes la iluminación las cámaras de seguridad los ascensores el estacionamiento la gestión del agua entre otras.
Durante la charla de apertura del Congreso Tony Anscombe el Global Security Evangelist de ESET mencionó que en Estados Unidos el crecimiento de los edificios inteligentes se estima será del 16.6 porciento para el 2020 con respecto al 2014; y que esta realidad de expansión está ocurriendo a nivel global. Este crecimiento se debe a que la tecnología atraviesa la automatización de procesos y la búsqueda de la eficiencia energética representando un aporte hacia la sustentabilidad y a una reducción de costos el objetivo de cualquier industria.
En términos de seguridad el riesgo en los edificios inteligentes se encuentra en que toda la red inteligente puede estar conectada a una única base de datos. Los dispositivos IoT son fabricados por distintos proveedores y es probable no tengan en consideración aspectos de seguridad durante su proceso de fabricación. Anscombe opinó que “potencialmente es probable que muchos de los que hoy no habitan en un edificio de estas características en algún tiempo sí lo hagan” dado el crecimiento de la construcción de edificios inteligentes que utilizan IoT viene en aumento.
El riesgo de sufrir un incidente de seguridad en este tipo de infraestructura está asociado a las motivaciones de los cibercriminales quienes principalmente buscan obtener un beneficio económico a partir de sus actos pero también generar impacto y transmitir miedo. Según explicó Anscombe si uno busca por BAS de manera específica podrá encontrar miles de sistemas de automatización de edificios en estas listas con información que podría ser utilizada por un atacante para comprometer un dispositivo. En febrero de 2019 figuraban en Shodan herramienta que permite encontrar sistemas vulnerables conectados a Internet incluyendo dispositivos IoT unos 35000 sistemas BAS al alcance público en Internet a nivel global.
Un tipo de ataque que se observó en varias oportunidades es el denominado Siegeware mediante el cual un actor malintencionado tiene la capacidad mediante código de realizar una demanda extorsiva a partir de tomar el control de las funcionalidades digitales de un edificio.
“El bajo costo de los dispositivos IoT para edificios y el avance de las tecnologías para sistemas de automatización de edificios está generando cambios que afectan a la seguridad. Esta búsqueda de automatización y el uso de dispositivos inteligentes que recopilan datos para ofrecer confort a sus ocupantes así como hacer un uso más eficiente de los recursos como el energético dependiendo de su implementación también podrían aumentar el riesgo para la seguridad. En este sentido la posibilidad de que un cibercriminal ejecute un ataque del tipo ransomware que afecte a un edificio inteligente ya forma parte de la realidad” mencionó Camilo Gutierrez jefe del Laboratorio de Investigación de ESET Latinoamérica.
ESET comparte consideraciones y requerimientos de seguridad que deberían estar presentes
Revisar las especificaciones de seguridad de los dispositivos y trabajar alineado al concepto de seguridad por diseño
Destinar un presupuesto acorde a la seguridad
Seleccionar socios que tengan conocimientos en el campo de la seguridad
Contar con un programa de manejo de vulnerabilidades
Cooperación entre las distintas áreas y/o departamentos
En cuanto a las recomendaciones desde el punto de vista operacional
Actualizar los dispositivos de manera regular
Establecer un plan de reemplazo si el ciclo de vida de un dispositivo finalizó
Prevención acerca de lo que está conectado
Monitorear los dispositivos que estén conectados
ESET
Deja un comentario