En la última edición del Congreso Iberoamericano de Seguridad de la Información -Segurinfo- que se llevó a cabo el 23 de abril en la ciudad de Buenos Aires, Argentina,ESET, compañía líder en detección proactiva de amenazas, acercó su análisis sobre edificios inteligentes donde se detallan los riesgos de seguridad asociados a este tipo de infraestructura.
Los edificios inteligentes utilizan tecnología para controlar distintas dinámicas con el objetivo de brindar mayor confort, contribuir a la salud y a la productividad de quienes habitan en ellos. Para realizar esto, utilizan Sistemas de Automatización de Edificios (en inglés como BAS). Con la llegada del Internet de las cosas (IoT) los edificios inteligentes se redefinieron y el equipamiento tecnológico permite analizar, predecir, diagnosticar y mantener los distintos ambientes, así como automatizar procesos y monitorear en tiempo real variables como la temperatura de los ambientes, la iluminación, las cámaras de seguridad, los ascensores, el estacionamiento, la gestión del agua, entre otras.
Durante la charla de apertura del Congreso, Tony Anscombe, el Global Security Evangelist de ESET, mencionó que en Estados Unidos, el crecimiento de los edificios inteligentes se estima será del 16.6% para el 2020 con respecto al 2014; y que esta realidad de expansión está ocurriendo a nivel global. Este crecimiento se debe a que la tecnología atraviesa la automatización de procesos y la búsqueda de la eficiencia energética, representando un aporte hacia la sustentabilidad y a una reducción de costos, el objetivo de cualquier industria.
En términos de seguridad, el riesgo en los edificios inteligentes se encuentra en que toda la red inteligente puede estar conectada a una única base de datos. Los dispositivos IoT son fabricados por distintos proveedores y es probable no tengan en consideración aspectos de seguridad durante su proceso de fabricación. Anscombe opinó que “potencialmente es probable que muchos de los que hoy no habitan en un edificio de estas características en algún tiempo sí lo hagan”, dado el crecimiento de la construcción de edificios inteligentes que utilizan IoT viene en aumento.
El riesgo de sufrir un incidente de seguridad en este tipo de infraestructura está asociado a las motivaciones de los cibercriminales, quienes principalmente buscan obtener un beneficio económico a partir de sus actos, pero también generar impacto y transmitir miedo. Según explicó Anscombe, si uno busca por BAS de manera específica, podrá encontrar miles de sistemas de automatización de edificios en estas listas con información que podría ser utilizada por un atacante para comprometer un dispositivo. En febrero de 2019 figuraban en Shodan, herramienta que permite encontrar sistemas vulnerables conectados a Internet incluyendo dispositivos IoT, unos 35,000 sistemas BAS al alcance público en Internet a nivel global.
Un tipo de ataque que se observó en varias oportunidades es el denominado Siegeware, mediante el cual un actor malintencionado tiene la capacidad mediante código de realizar una demanda extorsiva a partir de tomar el control de las funcionalidades digitales de un edificio.
“El bajo costo de los dispositivos IoT para edificios y el avance de las tecnologías para sistemas de automatización de edificios está generando cambios que afectan a la seguridad. Esta búsqueda de automatización y el uso de dispositivos inteligentes que recopilan datos para ofrecer confort a sus ocupantes, así como hacer un uso más eficiente de los recursos, como el energético, dependiendo de su implementación también podrían aumentar el riesgo para la seguridad. En este sentido, la posibilidad de que un cibercriminal ejecute un ataque del tipo ransomware que afecte a un edificio inteligente ya forma parte de la realidad.”, mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
ESET comparte consideraciones y requerimientos de seguridad que deberían estar presentes:
- Revisar las especificaciones de seguridad de los dispositivos y trabajar alineado al concepto de seguridad por diseño
- Destinar un presupuesto acorde a la seguridad
- Seleccionar socios que tengan conocimientos en el campo de la seguridad
- Contar con un programa de manejo de vulnerabilidades
- Cooperación entre las distintas áreas y/o departamentos
En cuanto a las recomendaciones desde el punto de vista operacional:
- Actualizar los dispositivos de manera regular
- Establecer un plan de reemplazo si el ciclo de vida de un dispositivo finalizó
- Prevención acerca de lo que está conectado
- Monitorear los dispositivos que estén conectados
De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET:https://www.welivesecurity.com/la-es/2019/04/24/edificios-inteligentes-infraestructura-blanco-cibercriminales/ |
No hay comentarios.