Descubren vulnerabilidades que hacen de las gasolineras un blanco fácil para los hackers
Los analistas de Kaspersky Lab han ayudado a descubrir una serie de vulnerabilidades desconocidas hasta ahora, que han dejado a las estaciones de servicio de todo el mundo expuestas durante años a una posible toma de control en remoto.
Las vulnerabilidades se detectaron en un controlador de estación de servicio del que existen más de 1.000 instalados y conectados online. Se informó al fabricante nada más confirmarse la amenaza.
Ido Naor, analista de seguridad senior de Kaspersky Lab, y otro analista detectaron el controlador durante una investigación no relacionada con dispositivos con conexiones abiertas a Internet. En muchos casos, el controlador se había colocado en las gasolineras hacía más de una década, conectándose a Internet desde entonces.
El controlador, que se ejecuta en una máquina Linux, opera con altos privilegios. Los analistas descubrieron una serie de vulnerabilidades que dejan el dispositivo y los sistemas a los que está conectado abiertos a un ciberataque ya que pudieron acceder, monitorizar y configurar muchos de los parámetros de la estación de servicio. Un ciberdelincuente, capaz de eludir la pantalla de inicio de sesión y obtener acceso a las interfaces principales, podría llegar a realizar cualquiera de las siguientes acciones:
- Apagar todos los sistemas de abastecimiento de combustible
- Cambiar los precios de los combustibles
- Producir fugas de combustible
- Sortear los terminales de pago para robar dinero (el controlador se conecta directamente con la terminal de pago, por lo que podrían secuestrar las transacciones de pago)
- Alterar matrículas y las identidades de los conductores
- Ejecutar códigos en la unidad controladora
- Moverse libremente dentro de la red de estaciones de servicio
“Cuando se trata de dispositivos conectados, es fácil centrarse en lo nuevo y olvidarse de aquellos productos instalados hace muchos años que podrían dejar la puerta abierta de par en par para un ciberataque. Es mejor no pensar en el daño que podría llegar a producirse al sabotear una gasolinera. Ya hemos compartido con el fabricante nuestros descubrimientos”, afirma Ido Naor, analista principal de seguridad de Kaspersky Lab.
Las vulnerabilidades también se han comunicado a MITRE y la investigación sigue su curso.