Aunque no conozco ataques específicos, lo cierto es que un parquímetro no deja de ser un pequeño ordenador ‘tonto’ al que han limitado para cumplir con su función en la calle. Si el cibercriminal tiene manera de acceder a algún puerto, o hacerse pasar por un administrador, podría escalar privilegios y hacer todo lo que el parquímetro permita.
La verdad es que es la vulnerabilidad que menos me preocupa… Las hay mucho peores, ya que probablemente afectarían a la privacidad y seguridad del resto de usuarios.
Para empezar, un ciberdelincuente puede perfectamente dejar sin Servicio de Estacionamiento Regulado a toda una ciudad. Cualquier servicio que requiera de algo conectado en la red y centralizado, puede ser víctima de un ataque de DDoS. ¡Cualquiera!
Lo suyo es que el equipo detrás de estos servidores haya implementado las medidas necesarias para mitigar potenciales ataques. Pero, si hay recursos e interés suficiente en causar daño, se va a poder causar. Fijémonos si no en todo lo que ocurrió en julio, con numerosos ataques al sistema de votación español y a medios de comunicación patrios, presumiblemente por un grupo ciberactivista prorruso…
Mientras la arquitectura hegemónica de los sistemas informáticos siga siendo centralizada, como ocurre en el 99% de proyectos actuales, habrá ataques DDoS capaces de tumbarlos. Y, con ellos, todo un negocio en esto de ofrecer servicios de ataques al mejor postor.
¿Y si, cuando aparcas, filtran tus datos?
Tal vez el riesgo que más nos preocupe personalmente sea el de que nuestros datos queden expuestos. Por eso un ayuntamiento tiene que exigir, como mínimo, una auditoría externa de los sistemas para evitar situaciones como la que le pasó en su día a ParkMobile. Esta app de estacionamiento es probablemente la más usada de EE.UU., y sufrió la filtración de los datos de 21 millones de usuarios. Las auditorías periódicas y profundas, llevadas a cabo por empresas neutrales y ajenas al proyecto, están especializadas en este tipo de pruebas.
De esta manera, un Ayuntamiento, que por razones obvias no puede contar con un equipo dedicado a estos menesteres, puede al menos estar seguro de que, como mínimo:
Se han tomado en consideración metodologías de ‘Security by Design’ en el desarrollo de la app.
- La base o bases de datos tienen que contar medidas mínimas para tratar de forma segura la información personal de los usuarios.
- Todo el desarrollo debe estar al día de los riesgos digitales, tomando medidas para minimizar el perímetro de exposición.
- El software y el hardware deberán estar en continua actualización. De nuevo el objetivo de que, al menos, el sistema no sea vulnerable a ataques conocidos; y que no se quede obsoleto de la noche a la mañana por algún componente que lleve años sin actualizarse.
Ya existió un caso…
En Madrid vivimos una situación parecida con la posibilidad de cualquier ciudadano acogido al SER (el Servicio de Estacionamiento Regulado de vehículos) accediera a la información de algún otro vecino, debido a un fallo que se dio a conocer en 2020. Sin embargo, en este caso el problema no venía dado por una app. El agujero estaba en un fallo en el diseño de las URL de acceso a su servicio web.
Es cierto que, con las apps, parte de estos riesgos se minimizan. Con ellas es más complicado que un usuario cualquiera acceda, aprovechándose de algún error de diseño. Pero, aun así, siempre existe el riesgo de que esto acabe pasando, bien sea por las pruebas de investigadores, bien sea por parte de ciberdelincuentes.
¿Es más peligroso si pago desde mi coche?
¿Son mayores los riesgos si utilizamos las apps de pago de la ORA a través de aplicaciones instaladas en nuestro propio vehículo? Aquí entramos en la típica disyuntiva sobre seguridad y privacidad de cada sistema operativo. Realmente, y enfocándonos a sistemas como Android Auto, el perímetro de exposición suele ser menor que el que tiene nuestro móvil. El de Android Auto está enfocado a un uso muy particular y, por tanto, muy limitado en cuanto a las tipologías de ataque que lo hacen vulnerable.
Ahora bien, estoy presuponiendo que tu coche mantiene la última actualización del sistema operativo, y aplica los parches de seguridad cuando corresponde. Y que, además, el fabricante ha tomado en consideración la importancia de la seguridad a la hora de diseñar tanto la circuitería como el software compartimentado que necesita para funcionar.
Gracias a tests como el que realiza Eurocybcar, del Grupo Cybentia, es posible validar estas cuestiones. Pero falta que acaben siendo algo más que una recomendación, y que se exijan para sacar al mercado un nuevo modelo.
