PUBLICIDAD
PUBLICIDAD

189 gasolineras españolas en grave peligro de ciberataque, denuncia la Asociación Mediterránea de Peritos TIC

La red de gasolineras Shell utiliza las válvulas chinas que permiten el acceso fácil a sus depósitos de combustible a través de Internet.
|

189 gasolineras españoles se encuentran en grave peligro de sufrir un ciberataque gracias al actual acceso libre a las válvulas de todos y cada uno de sus respectivos depósitos de combustible a través de Internet, según la denuncia presentada el 16 de febrero de forma simultánea, ante la Comisión Europea y ante la Fiscalía de Medio Ambiente, por la Associació Mediterrània de Perits de les TICs (ASPERTIC), a la que ha tenido acceso Confilegal.

“Acceder a estos sistemas es relativamente sencillo y se realiza vía telnet. Existen más de 600 comandos que se pueden ejecutar, algunos de los cuales incluyen el establecimiento de umbrales de alarma, la edición de configuraciones del sensor y la ejecución de pruebas de tanques. Mas aún, podemos descargar en internet todos los comandos explicados y detallados en el manual que el fabricante proporciona para este dispositivo”, se  puede leer en la denuncia.

PUBLICIDAD
PUBLICIDAD

Son todos los datos que se necesitan para provocar, bien sea por negligencia o por un ataque dirigido, daños a centenares de propiedades (mezclar gasolina, agua y/o gas-oil), vertidos de millones de litros de combustible por rebosamiento o incluso graves explosiones en carreteras y ciudades. Sólo recordar que muchas gasolineras están en cascos urbanos y un incidente con ellas comportaría la pérdida de vidas humanas”, añade.

Para demostrarlo, a título de ejemplo, incluyen los datos obtenidos, en el proceso de comprobación de la vulnerabilidad, de una gasolinera de Madrid de la que aparece el inventario del tanque, con el volumen de libros de gasolina y de diesel.

“Muchas válvulas tienen un puerto en serie incorporado para programación y monitorización. Algunos sistemas también tienen una tarjeta TCP/IP o incluso un adaptador de serie a TCP/IP. Estas tarjetas permiten a los técnicos supervisar el sistema de forma remota. El puerto TCP más común utilizado en estos sistemas es el puerto 10001. Algunos de estos sistemas tienen los mecanismos para estar protegidos con contraseña, pero de las 189 gasolineras o tanques localizados en España solo 1 está protegida por contraseña”, afirma la denuncia.

PUBLICIDAD

ES UN PROBLEMA QUE AFECTA A 10 PAÍSES

Este es un problema que afecta a todos los países de Europa, de América, Asia, Australia, Oriente Medio y, en menor medida, a África.

6.366 gasolineras de Estados Unidos padecen este mismo “agujero”; 2.126 en China; 654 en Alemania; 177 en Francia; 221 en la Federación Rusa; 254 en Australia; 130 en la Isla Reunión; y 92 en Brasil, por citar las más afectadas.

PUBLICIDAD

“Hace dos años y medio informamos al Gobierno de la existencia de este fallo, pero no han hecho. Visto el actual estado de cosas y el peligro real y evidente para los ciudadanos tanto de nuestro país como de Europa, decidimos presentarla ante la Comisión Europea y ante la Fiscalía de Medio Ambiente, en Barcelona”, explica Josep Jover, presidente de ASPERTIC, asociación con base en Barcelona compuesta por 111 peritos de toda España especializados en este campo.

PUBLICIDAD

Jover, autor de la denuncia, junto a Claudio Chifa y Antonio Fernandes, revela que todas las gasolineras afectadas funcionan con una válvula idéntica fabricada en China.

“Nosotros hemos hecho nuestras pruebas. Hemos deducido hasta la clave de acceso, que no revelaremos por responsabilidad social. Pero si lo hemos podido hacer nosotros cualquier pirata informática podría repetir nuestros pasos”, cuenta Jover en tono de clara preocupación.

“Esperamos que, en esta ocasión, nos hagan caso de verdad porque este es un peligro latente que hay que afrontar”, afirma.

TAMBIÉN SE PUEDEN CAMBIAR CAMBIAR LOS PRECIOS

De acuerdo con la denuncia de ASPERTIC, la actual situación de desprotección permite también “cambiar los precios de los surtidores de cerca de 100 gasolineras a nivel nacional. Este sí es un agujero de ciberseguridad sólo achacable a la avaricia de las petroleras”.

“Tendemos a creer que la ciberseguridad del loT (Internet of Things -internet de las cosas-) recae fundamentalmente en la securización de los dispositivos y su conexión a la red, y estamos equivocados. Como punto de partida, vemos que ni la securización de los dispositivos, ni su conexión a la red está actualmente en la mente de muchos despliegues industriales, como el caso comentado de gasolineras”.

PUBLICIDAD

“Muchos de los aplicativos de administración, métodos de actualización o autentificación del software embebido de los dispositivos loT no están desarrollado políticas de seguridad elementales. La seguridad de información ha de ser un factor determinante para la salida al mercado de nuevos productos. Existe un grave y cierto riesgo ya que los nuevos productos adolecen de todo tipo de vulnerabilidades clásicas en los mismos que permiten que el atacante consiga una intrusión fácil y sin ningún tipo de esfuerzo, en el mismo”, señala ASPERTIC.

Estos dispositivos inseguros forman parte de una colmena electrónica que se comunica en multitud de protocolos, algunos de ellos inseguros, en multitud de canales, también poco seguros, que comprometen a los teóricamente seguros.

Pero lo que le parece más grave a ASPERTIC es que estos dispositivos suelen informar a servicios que están alojados en la nube, con mínimos o nulos niveles de seguridad.

“Esto va más allá de cualquier película de desastres, de esas que se suelen hacer. Tal como están las cosas, estas gasolineras podrían ser objeto de secuestro a distancia, manipulación o destrucción. Con nuestra denuncia ya no pueden seguir con la cabeza metida en la tierra, como las avestruces. Tienen la obligación de hacer frente a este problema. Porque si pasara algo, ellos serían los responsables”, concluye Jover.