Edificios inteligentes, el nuevo blanco de los hackers
Al elevarse el nivel de conectividad en los inmuebles éstos se vuelven más atractivos para ser blancos de un “secuestro digital” llamado seigeware.
Photo by Samuel Zeller on Unsplash
Trabajar o vivir en un edificio inteligente puede ayudar a ahorrar energía eléctrica, brindar comodidad a quienes lo habitan e incluso puede mantenerse más limpio; sin embargo, su nivel de digitalización también lo convierte en blanco de ciberataques, los cuales van en ascenso constante desde mediados de 2017, según analistas.
Entre el tercer trimestre de 2017 y 2018 la firma de ciberseguridad Proofpoint registró en promedio 277 hackeos a inmuebles del sector privado en Estados Unidos y al cierre 2018 perfiló a la industria de bienes raíces como el segundo sector, en ese país, con mayor acumulación de intentos de ciberataques, tanto a las compañías como a los edificios. Entre más conectados estén más posibilidades existen de introducirse en sus sistemas y realizar hackeos con éxito.
Federico Pérez Acquisto, director general de ESET América Latina, comenta que el ataque cibernético a edificios inteligentes, también llamado seigeware, es una de las tendencias de 2019, tanto para países como Estados Unidos como para otros en América Latina.
“Ahora tenemos lo que es ransomware of things, sobre TV’s, autos e incluso a edificios. (...) Es reciente lo de los edificios inteligentes. en México hay muchos de estos edificios, en LATAM hay cada vez hay más en las ciudades más grandes y empieza a haber ataques a la infraestructura crítica de esos edificios y te pueden dejar sin ascensor, sin clima”, dijo en entrevista con Expansión.
Los edificios vulnerables son aquellos que tienen sistemas BAS (Building Automation Systems), los cuales engloban diferentes servicios a través de internet como proveeduría de agua, control del sistema eléctrico, sistemas de circuito cerrado de seguridad, detección de humo, ascensores y otros.
Con un hackeo de este tipo podrían quedar comprometidos hasta ocho sistemas distintos, según datos de ESET.
Pérez Acquisto explicó que el vector de ataque más común en el seigeware es a través de infiltraciones en la red del edificio vía correo electrónico dirigido a una persona clave que se conecta al WiFi del inmueble o bien de manera física con una llave USB infectada con código malicioso; basta con insertarla en un equipo que se conecte a la red del edificio para que el malware se active. Otra forma es vulnerando algún objeto de IOT en el lugar, desde una cámara de seguridad hasta un termostato conectado a la red.
La firma compartió que una de las estrategias que los hackers están usando para encontrar el hueco de vulnerabilidad para ingresar a los sistemas BAS es por medio de buscadores, privados como Shodan, en los que los hackers publican estas vulnerabilidades.
En estos sitios los cibercriminales publican información para realizar ataques u ofrecen sus servicios para realizarlos. Al hacer una búsqueda de BAS que podrían ser vulnerables se pueden obtener hasta 30,0000 resultados ubicados en Estados Unidos, según datos de ESET.
Nos hackearon
Una de las consecuencias más tangibles de un seigeware es que se corte la electricidad o que los ascensores y computadoras se bloquen hasta que se pague el “rescate” que generalmente los hackers piden a la administración de los inmuebles o su víctima, en estos casos; sin embargo, la consultora Deloitte destaca algunos otros puntos de riesgo.
“Hay tres riesgos relacionados a estas amenazas: robo de datos personales o destrucción de documentos importantes y datos sensibles; ataque a las compañías constructoras de los inmuebles; destrucción de infraestructura física”, citó la firma en un reporte de ciberseguridad relacionada bienes raíces.
Fallar en la protección de la infraestructura crítica puede derivar en mayores riesgos en el mundo físico, por lo que algunas firmas de ciberseguridad han comenzado a trabajar con esta industria y a solicitar que existan estándares mínimos de cumplimiento digital para instalar sistemas automatizados en edificios o BAS (building automated systems)
“Cuando se diseñan estos edificios lamentablemente no se está siendo consciente de los riesgos. Eso en los próximos años va a seguir pegando. Hay poca normativa pero tenemos que ver cómo ayudar a las constructoras y asesorarlos para poner esta capa de seguridad. Están viendo que sea usable y que te haga la vida fácil pero no están viendo la seguridad”, dijo Luis Arturo Vázquez, director de ESET México.
Aunque aún no se ha registrado un caso de seigeware en México o en la región, a nivel global ya empiezan a sumarse. En marzo de 2019, la planta de energía renovable Norsk Hydro, en Noruega, fue víctima de uno de estos ataques y las pérdidas económicas, según la aseguradora AIG fueron de 40 millones de dólares.
Fuente: expansion.mx - Gabriela Chávez