19 marzo 2018
Un agujero de
seguridad haría posible usar 189 gasolineras españolas para ataques terroristas
Peritos informáticos
denuncian que los mecanismos para controlar los tanques son accesibles desde
internet y hackeables sin contraseña.
Casi 200 gasolineras en España son vulnerables gracias a un
fallo de seguridad que permite utilizarlas para un ataque terrorista. Esa es la
conclusión a la que ha llegado un grupo de peritos informáticos catalanes
tras peinar la red y darse cuenta de que los dispositivos que controlan el
nivel de los tanques, las alarmas y otros parámetros de configuración de
los mismos son accesibles y manipulables a través de internet.
Según el
informe elaborado en febrero por la Asociación Mediterránea de
Peritos de Tecnologías de la
Información y Comunicación (Aspertic), el agujero de seguridad se centra en
el acceso al llamado Sistema de Control Industrial (ISC por sus siglas en
inglés). Estos dispositivos sirven para controlas los tanques de las
gasolineras en todo el mundo y controlan funciones como el nivel de
combustible, agua, temperatura o hacer saltar las alarmas ante
funcionamientos indebidos.
Según estos
peritos informáticos, que han llevado su informe al Senado de la mano de En
Comú Podem, en España hay 189 gasolineras vulnerables y accesibles desde la
red. A juicio de los peritos, estos dispositivos aportan
"todos los datos necesarios, bien sea por negligencia o por un ataque
dirigido, para provocar daños a centenares de propiedades
(mezclar gasolina/agua/gasoil) vertidos de millones de litros por
rebosamiento o incluso graves explosiones en carreteras y ciudades. Solo
recordar que muchas gasolineras están en cascos urbanos y un incidente con
ellas comportaría la pérdida de vidas humanas", concluyen los peritos.
Sistemas de seguridad
redundantes
Para
acreditar su tesis, el informe aporta la información extraída a modo de ejemplo
de una gasolinera en Madrid, con la cantidad de litros que en ese momento
guardaba cada uno de sus tanques. Sin embargo, fuentes del sector de los petroquímicos explican que todos esos sistemas
llevan elementos redundantes de comprobación y seguridad que
hace mucho más complicado su uso malicioso de lo que se plantea en el informe.
Algo que no tiene en cuenta el documento encabezado por Josep
Jover, informático y abogado contratado por Esquerra Republicana para
defender el proceso soberanista catalán frente a la Unión Europea.
Según
explica el peritaje, "muchas válvulas tienen un puerto en serie
incorporado para programación y monitorización. Algunos sistemas tienen también
una tarjeta TCP/IP o incluso un adaptador de serie. Estas tarjetas permiten a los técnicos supervisar el sistema de forma
remota. El puerto TCP más común utilizado en estos sistemas es
el puerto 10001. Algunos de estos sistemas tienen mecanismos para estar
protegidos por contraseñas, pero de las 189 gasolineras o tanques localizados
en España solo uno está protegido por contraseña".
"Acceder a estos sistemas es relativamente sencillo y se realiza vía
telnet", prosigue el documento. "Existen más de 600 comandos que se pueden ejecutar,
algunos de los cuales incluyen el establecimiento de umbrales de alarma, la
edición de configuraciones del sensor y la ejecución de pruebas de
tanques". Los peritos informáticos alertan además de que los manuales para
controlar estos dispositivos se encuentran también accesibles en las webs de
los fabricantes para cualquiera que quiera descargarlos.
El testigo
de la alerta ha sido recogido por el senador Joan Comorera, que el pasado 2 de
marzo presentó una pregunta en el Senado para que el Gobierno de explicaciones
sobre si fue advertido ya en 2015 de esta vulnerabilidad, como denuncia la
asociación de peritos y "¿qué medidas ha tomado o va a tomar el Gobierno
para investigar esta situación y evitar cualquier tipo de riesgo ante posibles
ciberataques?". Algo que todavía está por responder.
Opinión:
Leyendo la información no tenia muy claro si publicarla,
porque podría entenderse como unos datos aportados para que puedan leerlos los
malos de la historia… pero luego me lo he pensado mejor y he decidido
publicarla porque si, desgraciadamente, ocurriera otro atentado relacionado con
este sistema, al menos poder decir que ya otros lo habían advertido.
Así pues, ahora le toca a las administraciones competentes
evitar estas situaciones.
No hay comentarios:
Publicar un comentario