Puede que no consideremos los barcos como sistemas de control industrial (ICS). Pero según Ken Munro, un investigador de ciberseguridad de Pen Test Partners, deberíamos.
Los que los gestionan también deberían, dijo en una entrada de blog en la que resume la conferencia que dio en Atenas sobre lo sencillo que es hackear los sistemas de comunicaciones de los barcos. Mientras que posiblemente no tengan fugas físicas, son catastróficas cuando se refiere a ciberseguridad.
La misma historia que ha llevado a la mala seguridad en los ICS terrestres se aplica a los barcos. Utilizan redes dedicadas y aisladas, dice, por lo que están a salvo de ataques online, pero poco más:
Los barcos (sistemas complejos de control industrial pero flotantes) tradicionalmente aislados, ahora están conectado vía VSAT, GSM/LTE e incluso wifi. La conexión a Internet de la tripulación, mezclada con sistemas de navegación eléctricos, ECDIS, propulsión, gestión de carga y un gran número de otros complejos sistemas a medida son una receta para el desastre.
Y hay muchas maneras de que esto ocurra, la mayoría debido a fallos en las prácticas que recomendamos desde este blog y que nuestros lectores reconocerán como las bases de la ciberseguridad.
Simplemente usando Shodan, un motor de búsqueda que indexa dispositivos conectados a Internet, Munro encontró equipamiento marítimo por todo el mundo. Para uno de los mayores satélites de comunicaciones marítimos, Immarsat, descubrió multitud de logins del Globe Wireless en texto sin cifrar, así como pruebas de que el firmware de muchas cajas de comunicaciones estaba obsoleto.
Otro ejemplo, la antena del satélite Cobham Sailor 900 estaba protegida de un ataque externo con único y complejo nombre de usuario y contraseña: admin/1234.
Catalin Cimpanu de Bleeping Computer expone que ya existe un exploit público para esa antena, lo que hace un juego de niños su ataque. Añade que esas antenas además de encontrase en cruceros y mercantes, también están en buques del ejercito y barcos privados, así como en aviones y helicópteros.
Para Munro la situación empeora cuando nos referimos a las terminales KVH que no solo carecen de cifrado al realizar el login, sino que además muestran el nombre de la embarcación y disponen de la opción “mostrar usuarios”. Esa opción muestra una lista de todos los miembros de la tripulación que están online en ese momento.
Estos problemas no se han descubierto recientemente, llevan ahí años. En abril de 2013, la firma de ciberseguridad Rapid7 informó que en 12 horas fue capaz de rastrear 34.000 buques en todo el mundo usando el protocolo marítimo AIS.
Munro aconseja una serie de medidas que nos son muy familiares:
- Actualiza todos los dispositivos satélite de inmediato.
- Implementa TLS en todos los dispositivos satélite.
- Utiliza contraseñas robustas.
Munro concluye diciendo:
Hay muchas maneras de hackear un barco pero la conexión satélite está prácticamente todo el tiempo en Internet. Comienza por ahí y poco a poco muévete a otros sistemas.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
José
Existe alguna organización internacional que defina estándares básicos de seguridad digital en los buques ?