Expertos HC

¿Tienes una gasolinera -o las utilizas habitualmente-? Es probable que sea cibervulnerable

Con los precios de los combustibles por las nubes, ¿tiene que temer una gasolinera a los ciberataques? Carlos Sahuquillo, consultor de ciberseguridad de la empresa GMV, alerta de las dificultades para que este sector deje de ser vulnerable.

Mangueras surtidor gasolina Reino Unido

A más de un ‘black hacker’ se le habrá pasado por la cabeza atacar una gasolinera para esquivar los precios actuales de los combustibles… Las estaciones de servicio son infraestructuras que, progresivamente, tampoco escaparán del ‘Internet de las Cosas’, y hoy en día ya son conscientes de algunas de sus vulnerabilidades.

Sin ir más lejos, durante los años 2017 y 2018, miles de litros de carburante se esfumaron de una serie de gasolineras Total en las proximidades de París. Para conseguirlo, los surtidores fueron ciberatacados y se manipularon mediante control remoto. Los ciberdelincuentes activaron el modo de mantenimiento, mediante el que pudieron extraer la gasolina sin que el contador funcionara.

El resultado fue el robo de 120.000 litros por valor de 150.000 euros. Otro agujero, detectado en este caso por la Agencia de Seguridad de Infraestructura y Ciberseguridad estadounidense -la CISA-, permitía tomar el control del abastecimiento de las estaciones de servicio que utilizaran el software de monitorización del combustible SiteOmat, de la compañía Oprak.

Difícil solución para los surtidores

Estos son sólo dos ejemplos a los que Carlos Sahuquillo, consultor de ciberseguridad de la empresa GMV, añade el aumento generalizado de los robos de gasolina por todo EE.UU. desde la drástica subida de los precios tras el desastre del huracán Katrina -año 2005-. Es por ello que “en la mayoría de gasolineras de Estados Unidos se implantó el prepago antes de poder llenar el depósito”, comenta Sahuquillo.

“Al igual que ha pasado en otros sectores, el principal problema con el que se enfrentan los fabricantes de surtidores es que no se diseñaron pensando en la ciberseguridad de los mismos”, recalca este experto. “El concepto ’Security by Design’ del que tanto se habla ahora no era tan importante hace algunos años, básicamente porque no había ataques.

Lo hemos visto también en el sector de automoción, donde sistemas que se crearon en los años 80 para el intercambio de información intra-vehicular como es el CANBUS no tenía en cuenta que en unos años los coches estarían conectados a Internet y podrían sufrir ataques externos”.

El resultado es que “ahora tenemos que lidiar con un montón de vulnerabilidades que llevan décadas en nuestros vehículos, sin que el fabricante hiciera nada al respecto porque no era posible explotarlas a menos que estuvieras dentro de él”.

Por lo tanto, este sería el mismo problema que sufren las gasolineras con los surtidores. Sahuquillo destaca la existencia de sólo dos fabricantes para todo EE.UU., y en los dos casos con mecanismos muy básicos de protección: Wayne Fueling Systems y Gilbarco Veeder-Root.

Menos mal que “las normativas europeas obligaron a las gasolineras a adquirir surtidores más modernos”. De hecho, sobre las vulnerabilidades del sistema Orpak, Sahuquillo es franco: «indican que se desarrolló sin tener en cuenta la ciberseguridad; son muy básicas. Por no hablar de la auditoría previa a poner el sistema en producción. Cualquier auditor habría sido capaz de identificar todas esas vulnerabilidades y levantar una alerta antes de ponerlo en la calle”.

Errores muy básicos

Ni siquiera hace falta que el atacante sea muy sofisticado. Sin ir más lejos, hace apenas tres meses, “vimos un ataque en Estados Unidos que consistía en acceder al panel de administración con una clave por defecto -el típico ‘usuario admin/contraseña admin’-.

Nadie se había preocupado de cambiarla después de la instalación. También se han realizado ataques con un pequeño mando de infrarrojos -disponible en eBay– que pone el surtidor en modo de mantenimiento”. Tal y como ocurría en los ataques mencionados en Francia, “durante la ejecución de ese modo no se facturan los litros suministrados”.

Por lo tanto, ¿se dispararán los ataques a gasolineras? Sahuquillo se muestra convencido: “Mientras el precio de la gasolina siga subiendo seguirá habiendo ataques de este tipo”. Además, es más fácil que atacar puntos de recarga eléctricos, porque para estos últimos si se ha tenido en cuenta que hacen falta medidas de seguridad.

“Podríamos hacer un símil con el mundo financiero y los cajeros automáticos: aún hay cajeros en el mundo ejecutando Windows XP o Windows 7, los cuales llevan años sin soporte ni parches de seguridad”, denuncia el especialista; “no se puede actualizar el sistema porque el cajero es demasiado antiguo para ejecutar otro sistema operativo más moderno… pero sin embargo está funcionando correctamente, realiza miles de operaciones al mes y el banco propietario no tiene una excusa clara para sustituirlo por otro más moderno”.

Ni siquiera es una cuestión de voluntad de las estaciones de servicio: “no es fácil implantar medidas de seguridad en surtidores que no se diseñaron teniendo en cuenta que podían ser atacados”. Por ejemplo, “implementar medidas más sofisticadas como sistemas antimalware o IDPS no es posible en los surtidores más antiguos”.

¿Hacia la estación de servicio autónoma?

Entonces, ¿qué remedio les queda? Según Sahuquillo, “lo primero sería empezar por un análisis de riesgos actualizado y, una vez identificadas todas las amenazas, aplicar medidas de contingencia.

Fácil no va a ser, porque muchos de los riesgos no se podrán mitigar. Pero existen medidas sencillas como una buena política de usuarios y contraseñas, mínimos privilegios para todos los usuarios del sistema, aplicar los parches disponibles, filtrar accesos externos a las direcciones IP estrictamente necesarias…”.

Paralelamente, Sahuquillo cree que, en el futuro, al coche autónomo le acompañará la gasolinera autónoma. “Cuando lleguemos a ese punto, podremos cargar nuestro vehículo mientras está estacionado en la calle o en nuestro garaje sin necesidad de enchufarlo a ningún sitio. Hasta entonces, las gasolineras se tendrán que adaptar para que los vehículos autónomos puedan autónomamente, tanto si son eléctricos como de combustión o GLP”.

De hecho, las gasolineras conectadas ya son una realidad, e incluyen «sensores para facilitar la vida de los conductores reduciendo los tiempos de mantenimiento, elementos inteligentes como el túnel de lavado… etc».

La conclusión de Sahuquillo es inquietante para los proveedores de productos petrolíferos: “no hace falta un gran conocimiento en ciberseguridad y programación para desarrollar un malware capaz de infectar estaciones de servicio”. ¿Se pondrán pronto ‘las pilas’ con las sugerencias más básicas que propone este experto… o habrá que esperar a que todas se conviertan definitivamente en electrolineras autónomas?

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.