En la conferencia Hack In The Box celebrada en Holanda, el ingeniero español Jose Antonio Guasch ha mostrado un mapa que incluye algunos de los más de 40 sistemas que ha encontrado muy fáciles de hackear. Para hacerlo solo es necesario conocer el nombre de la empresa que desarrolla los equipos conectados y el parking que lo incluye. La seguridad es mínima y según este experto en seguridad, muy fácil de esquivar.
Una vez que el sistema del parking es accesible, el intruso tiene en sus manos el control de las barreras, la gestión de los tickets e incluso los datos de las tarjetas de crédito de los usuarios del parking. Por si fuera poco, las cámaras de seguridad tanto de las zonas de trabajadores como de las abiertas al público quedan a su disposición.
Sistemas conectados en los que no se ha pensado en la seguridad
Según Guasch, el sistema de cámaras, cajeros y todo el sistema conectado que usan estos parkings ha sido diseñado sin prestar atención a la seguridad. No al menos más allá de algo básico y fácilmente vulnerable. El mapa que ha creado muestra las decenas de parkings que ha encontrado vulnerables tanto en Europa como en Australia. En España salen 4 sistemas de gestión vulnerables que suponen decenas de parkings por todo el territorio.
Ese mapa no ha sido desvelado ni tampoco da detalles o las herramientas utilizadas para localizar a los parkings fácilmente hackeables. Pero sí comenta que tras tratar de ponerse en contacto sin éxito con los responsables de dichos establecimientos en España, optó por informar a la Guardia Civil.
El principal fallo de seguridad encontrado por este ingeniero fue una carpeta pública donde se encontraban las copias de seguridad de sistema, incluyendo los nombres de usuario y contraseñas de los trabajadores. A partir de ahí, entrar al sistema como un trabajador más fue sencillo, y le permitió tomar el control de barreras, cámaras o crear abonos de parking por el tiempo que hubiera querido. También es el camino para que intrusos puedan insertar código malicioso en los cajeros para hacerse con los datos bancarios y de tarjetas de los abonados o usuarios de estos parkings.
Ver 11 comentarios
11 comentarios
Eagle
No sé en los demás países, pero en el nuestro casi nadie se está tomando todavía la seguridad en serio, lo cual nos va a poner en problemas en el futuro con total seguridad. Luego vendrán las manos a la cabeza, el cómo es que nadie pensó en esto, etc. pero ya será tarde.
Pero es normal. Cuando a un ingeniero se le pagan 1.200 euros para que desarrolle un sistema de control de vigilancia (o de gestión de gasolineras, o de..., ya me entendéis) no se puede pretender que sepa de todo y que sepa bien además. Vamos, la famosa frase de "si pagas con cacahuetes, tendrás monos como empleados".
Ya espabilarán cuando se tomen la informática en serio (como en USA), no como pasa ahora.
juanmcm
En mi opinión esto es debido a que quien se encarga de esto o bien no tiene la menor idea de la seguridad o ha pensado "con la cantidad de negocios que hay, esto es algo que a nadie le interesará", pero cuando hablamos de dinero (datos de tarjetas de crédito), privacidad (datos y nombres de usuarios y/o empleados) toda seguridad es poca.
Ya eso de colgar en carpetas públicas la información que sea no tiene nombre.
En su día debió actuar la AGPD pero viendo la actitud de los parking pues igual ahora se debería a otros estamentos.
Tanto la policía como la Guardia Civil (sección de delitos informáticos) tienen que meter manos en el asunto.
jimboned
punto 1, "el ingeniero llorón" ha centrado su comentario en la informática porque la noticia es sobre un trabajo que debe estar hecho por un ingeniero informático, así que no va a hablar del sueldo de un panadero.
punto 2, la ingeniería informática es un bicho raro dentro de las ingenierías y no tiene ni competencias, ya no hablo de que el resto con su "firma" de proyectos se llenan bien los bolsillos, así que su queja está fundamentada.
punto 3, además de la empresa que pone el sistema habría que incluir a los gestores de los parkings que seguro que han buscado pagar lo mínimo mientras sablean a los usuarios del parking, y sí, seguro que pagan una miseria a sus empleados, eso se hablará cuando la noticia tenga que ver con esos empleados.
javitog
Los sistemas son una mierda porque las empresas informáticas destinan poco tiempo y poco sueldo a crearlos. Destinan pocos recursos porque tienen un margen de beneficios ridículo debido a que las empresas contratantes solo quieren "salir del paso" y cumplir los mínimos de la ley.
Eso pasa, bajo mi punto de vista, porque a las empresas se les obliga a tantas chorradas y tan caras (tipo prevención de riesgos, pagar el sueldo a empleados de baja, ley de protección de datos, etc) que de algún lado tienen que sacar algo de beneficio.
Al final todos quieren lo mismo, ganar dinero, tanto el de la empresa del parking, como el desarrollador de software o como sus empleados, y en España dinero queda poco.