Así pueden secuestrar los ciberdelincuentes un edificio con la calefacción o las luces conectadas a internet

El escenario que ha dibujado Tony Anscombe durante el Mobile World Congress es perfectamente razonable. Un edificio de oficinas contrata un nuevo sistema de aire acondicionado para todo el bloque. Es un sistema centralizado, cuyas funciones se pueden modificar desde un centro de control. Pero la empresa que lo instala no sitúa este centro de control exclusivamente en el edificio sino que lo conecta a Internet. De esta forma estará accesible en remoto, para que la empresa encargada del mantenimiento pueda regular las funciones del aire acondicionado sin moverse de sus propias oficinas.

El problema de este escenario es que el siguiente paso que plantea Tony también parece razonable. La conexión a Internet abre las puertas para que un grupo de ciberdelincuentes penetre en el sistema de aire acondicionado y se haga con su control. Llega el invierno y un día el aire acondicionado empieza a funcionar a la temperatura más baja posible. Llega un momento en que los trabajadores tienen que ponerse el abrigo para estar dentro y la evacuar las instalaciones se convierte en la única opción.

El aire acondicionado no se ha estropeado, sencillamente los ciberdelincuentes han introducido un ransomware en el sistema. Exigen el pago de una cantidad a cambio de devolver el control a la empresa de mantenimiento. Tony Anscombe, investigador en la compañía de seguridad ESET, no habla de forma puramente especulativa. El año pasado una compañía, de la cual no puede decir su nombre, pero sobre la que confiesa que se dedica a fabricar dispositivos médicos, les comunicó un incidente. Un ataque les había introducido un ransomware, que mediante el mensaje “tenemos el control de los sistemas automáticos de vuestro edificio” les pedía el pago de 50.000 dólares a cambio de cederles de nuevo el control.

Afortunadamente esta compañía tenía un plan de crisis previsor y pudo recuperar el control sin grandes desbarajustes. Pero no siempre ocurre esto. En una búsqueda rápida, ESET ha descubierto 35.000 objetivos potenciales, que serían solamente la punta del iceberg. Todos ellos son sistemas de control que manejan una o varias funciones de un edificio inteligente y son vulnerables.

“Pensemos en esto. Hay un contrato para poner en marcha un sistema, un trabajo que no hace una empresa de seguridad ni de IT. Hay muchas posibilidades de que muchos de estos dispositivos mantengan las contraseñas que vienen por defecto, el nombre de usuario de muchas cuentas puede ser ‘admin’ y lo más seguro es que no estén protegidas por doble factor de autentificación”, comenta Anscombe.

Su compañía ha estudiado el campo de los edificios inteligentes, analizando varios dispositivos y sistemas de control. La investigación comenzó el pasado año y se espera que se concluya en unos tres meses, con conclusiones firmes. Aunque ya se puede hacer un esbozo de la situación.

“Si nos fijamos en los sistemas de automatización de edificios, afectan casi a cualquier empresa”, apunta el investigador de ESET. “Tú puedes ser un inquilino en el edificio y lo compartes con otras empresas. El administrador del edificio o el operador controla la calefacción, el sistema de aire acondicionado, la calidad del aire o el sistema de extinción de incendios. Todos estos sistemas se están conectando a la Red, pero sus mecanismos nunca han estado diseñados para estar conectados”.

Sin embargo, es muy cómodo para una compañía que opere un edificio o sea responsable de sus servicios, como calefacción o iluminación, controlar todos estos aspectos por remoto. Así no es necesario contar con una presencia física para regular la temperatura del lugar, por ejemplo. Es el clásico dilema entre comodidad y seguridad, que suele resolverse a favor de la primera opción hasta que se produce algún incidente grave que invite a equilibrar la balanza.

Anscombe señala que los edificios inteligentes tendrán u sistema para controlar todo. Y todo quiere decir desde las barreas del parking al cierre de las puertas, pasando por los sistemas de emergencia y control de incendios, el aire acondicionado, la calefacción, las cámaras de seguridad e incluso los ascensores. El experto en seguridad se pregunta qué sucedería si un hacker tomara el control de un edificio entero.

Tener que evacuar un edificio entero solo es uno de los escenarios posibles. Otra de los perjuicios podría ser la escabechina que se hiciera con la información obtenida en un ataque. “La recogida de datos puede ser masiva. Un atacante sabría cuándo se empieza a trabajar, dónde trabajan los empleados, en qué partes del edificio están . Hay mucha información sobre cómo funciona la compañía”, apunta Anscombe. Y esto podría servir a alguien para cometer un robo físico en la oficina.

En caso de ataque, ¿qué hay que hacer? Anscombe da una primera respuesta rápida: “No pagar el alquiler”, ríe, para después matizar que se necesitan expertos en ciberseguridad para recuperar el control.