Fallo de seguridad que permite hackear miles de gasolineras

Cientos de gasolineras en España y miles en total en otros países son completamente vulnerables a ataques informáticos que, entre otras cosas, podrían poner en riesgo la seguridad de sus tanques de combustible. Un experto en seguridad ha destapado el fallo. Lo más grave: en España, por ejemplo, ni autoridades ni petroleras han solucionado aún el problema.

El agujero de seguridad lo destapó a finales de marzo Amador Aparicio, ingeniero superior en informática y especialista en seguridad. Su hallazgo, detallado por él mismo en un artículo en el blog Security by Default, fue preocupante: por descuido o negligencia profesional, muchas gasolineras tienen su propia red privada conectada a Internet y, lo grave, completamente desprotegida. A esta red interna se conectan todos sus sistemas, desde la caja registradora a los dispositivos de monitorización de los tanques de combustible. Aparicio descubrió no solo que la red está conectada a Internet y que los envíos de datos no están cifrados, sino que el acceso a sistemas críticos ni siquiera está protegido con una simple contraseña y nombre de usuario. Pudo entrar hasta la cocina, desde las cámaras de vigilancia o el TPV para cobrar a los clientes, hasta los sistemas de control de los tanques de combustible. De hecho, cualquier persona con mínimos conocimientos informáticos puede acceder y manipular a placer los sistemas de la gasolinera con consecuencias potencialmente muy graves.

Amador lo explica en conversación telefónica con Gizmodo en Español:

El fallo permite, por ejemplo, manipular el sistema de alarmas de los tanques de combustible. Cada gasolinera tiene unos tanques donde almacena combustible. Estos cuentan con dispositivos que monitorizan el estado de los tanques, su temperatura, si tienen gasolina o gasóleo, cuánto queda... Puedes entrar y desactivar sin problema las alarmas, como las de temperatura. Si la temperatura del tanque empieza a subir por un fallo técnico, el operario no recibiría ninguna alarma. Imagínate qué pasaría...

Desde luego, nada bueno.

¿Cómo es posible?

Amador destapó el problema partiendo de búsquedas en Shodan, un buscador que permite encontrar dispositivos (routers, servidores...) conectados a Internet. Buscó primero por un tipo de conversor utilizado en las gasolineras para enviar los datos desde los tanques de combustible al PC de un operario (en concreto, un conversor a Ethernet del tipo GC-NET2 32-DTE). Bingo. Encontró una lista de gasolineras que lo utilizaban.

“Luego probé a buscar cuáles de estos conversores se conectaban al servicio Telnet para monitorizar los tanques en remoto, sin tener que acudir físicamente a la gasolinera. La sorpresa fue que hay decenas de gasolineras con estos equipos conectados a Internet y, además, no utilizan ni usuario ni contraseña. Habían dejado la configuración por defecto del sistema. Basta descargarte el manual de Internet, ver cuál es la configuración por defecto y entrar hasta la cocina”, explica.

Dicho y hecho. Pudo abrir sin problemas la consola de control que permite cambiar todos los parámetros y alertas de control de los tanques de combustible. Debajo, un pantallazo del sistema de una gasolinera en España conectado al servicio Telnet y sin securizar, completamente abierto a cualquiera (las IPs y datos críticos de identificación han sido tapados):

Fuente: gizmodo