189 gasolineras españolas en grave peligro de ciberataque, denuncia la Asociación Mediterránea de Peritos TIC

189 gasolineras españolas en grave peligro de ciberataque, denuncia la Asociación Mediterránea de Peritos TIC

17 / 02 / 2018 06:20

En esta noticia se habla de:

189 gasolineras españoles se encuentran en grave peligro de sufrir un ciberataque gracias al actual acceso libre a las válvulas de todos y cada uno de sus respectivos depósitos de combustible a través de Internet, según la denuncia presentada el 16 de febrero de forma simultánea, ante la Comisión Europea y ante la Fiscalía de Medio Ambiente, por la Associació Mediterrània de Perits de les TICs (ASPERTIC), a la que ha tenido acceso Confilegal.

«Acceder a estos sistemas es relativamente sencillo y se realiza vía telnet. Existen más de 600 comandos que se pueden ejecutar, algunos de los cuales incluyen el establecimiento de umbrales de alarma, la edición de configuraciones del sensor y la ejecución de pruebas de tanques. Mas aún, podemos descargar en internet todos los comandos explicados y detallados en el manual que el fabricante proporciona para este dispositivo», se  puede leer en la denuncia.

«Son todos los datos que se necesitan para provocar, bien sea por negligencia o por un ataque dirigido, daños a centenares de propiedades (mezclar gasolina, agua y/o gas-oil), vertidos de millones de litros de combustible por rebosamiento o incluso graves explosiones en carreteras y ciudades. Sólo recordar que muchas gasolineras están en cascos urbanos y un incidente con ellas comportaría la pérdida de vidas humanas», añade.

Para demostrarlo, a título de ejemplo, incluyen los datos obtenidos, en el proceso de comprobación de la vulnerabilidad, de una gasolinera de Madrid de la que aparece el inventario del tanque, con el volumen de libros de gasolina y de diesel.

«Muchas válvulas tienen un puerto en serie incorporado para programación y monitorización. Algunos sistemas también tienen una tarjeta TCP/IP o incluso un adaptador de serie a TCP/IP. Estas tarjetas permiten a los técnicos supervisar el sistema de forma remota. El puerto TCP más común utilizado en estos sistemas es el puerto 10001. Algunos de estos sistemas tienen los mecanismos para estar protegidos con contraseña, pero de las 189 gasolineras o tanques localizados en España solo 1 está protegida por contraseña», afirma la denuncia.

ES UN PROBLEMA QUE AFECTA A 10 PAÍSES

Este es un problema que afecta a todos los países de Europa, de América, Asia, Australia, Oriente Medio y, en menor medida, a África.

6.366 gasolineras de Estados Unidos padecen este mismo «agujero»; 2.126 en China; 654 en Alemania; 177 en Francia; 221 en la Federación Rusa; 254 en Australia; 130 en la Isla Reunión; y 92 en Brasil, por citar las más afectadas.

«Hace dos años y medio informamos al Gobierno de la existencia de este fallo, pero no han hecho. Visto el actual estado de cosas y el peligro real y evidente para los ciudadanos tanto de nuestro país como de Europa, decidimos presentarla ante la Comisión Europea y ante la Fiscalía de Medio Ambiente, en Barcelona», explica Josep Jover, presidente de ASPERTIC, asociación con base en Barcelona compuesta por 111 peritos de toda España especializados en este campo.

Jover, autor de la denuncia, junto a Claudio Chifa y Antonio Fernandes, revela que todas las gasolineras afectadas funcionan con una válvula idéntica fabricada en China.

«Nosotros hemos hecho nuestras pruebas. Hemos deducido hasta la clave de acceso, que no revelaremos por responsabilidad social. Pero si lo hemos podido hacer nosotros cualquier pirata informática podría repetir nuestros pasos», cuenta Jover en tono de clara preocupación.

«Esperamos que, en esta ocasión, nos hagan caso de verdad porque este es un peligro latente que hay que afrontar», afirma.

TAMBIÉN SE PUEDEN CAMBIAR CAMBIAR LOS PRECIOS

De acuerdo con la denuncia de ASPERTIC, la actual situación de desprotección permite también «cambiar los precios de los surtidores de cerca de 100 gasolineras a nivel nacional. Este sí es un agujero de ciberseguridad sólo achacable a la avaricia de las petroleras».

«Tendemos a creer que la ciberseguridad del loT (Internet of Things -internet de las cosas-) recae fundamentalmente en la securización de los dispositivos y su conexión a la red, y estamos equivocados. Como punto de partida, vemos que ni la securización de los dispositivos, ni su conexión a la red está actualmente en la mente de muchos despliegues industriales, como el caso comentado de gasolineras».

«Muchos de los aplicativos de administración, métodos de actualización o autentificación del software embebido de los dispositivos loT no están desarrollado políticas de seguridad elementales. La seguridad de información ha de ser un factor determinante para la salida al mercado de nuevos productos. Existe un grave y cierto riesgo ya que los nuevos productos adolecen de todo tipo de vulnerabilidades clásicas en los mismos que permiten que el atacante consiga una intrusión fácil y sin ningún tipo de esfuerzo, en el mismo», señala ASPERTIC.

Estos dispositivos inseguros forman parte de una colmena electrónica que se comunica en multitud de protocolos, algunos de ellos inseguros, en multitud de canales, también poco seguros, que comprometen a los teóricamente seguros.

Pero lo que le parece más grave a ASPERTIC es que estos dispositivos suelen informar a servicios que están alojados en la nube, con mínimos o nulos niveles de seguridad.

«Esto va más allá de cualquier película de desastres, de esas que se suelen hacer. Tal como están las cosas, estas gasolineras podrían ser objeto de secuestro a distancia, manipulación o destrucción. Con nuestra denuncia ya no pueden seguir con la cabeza metida en la tierra, como las avestruces. Tienen la obligación de hacer frente a este problema. Porque si pasara algo, ellos serían los responsables», concluye Jover.

Noticias relacionadas:

‘Tito Berni’ a un paso del banquillo: la Fiscalía le pide 8 años de cárcel

Opinión | El fiscal que acusa lo que antes archivó: variaciones sobre un arte sofista muy antiguo

Carlos Tejada Bañales, fiscal delegado Antidroga de Marbella y referente en la lucha contra el narcotráfico, fallece a los 58 años

Almudena Lastra abre expediente a las dos fiscales de las conversaciones del caso Plus Ultra

Opinión | Manual del arrepentido

El fiscal de la AN, en contra de conceder la semilibertad a la exdirigente de ETA ‘Anboto’

Lo último en Tribunales

Samuel Vázquez

La Audiencia de Madrid absuelve al policía Samuel Vázquez: su intervención en un acto de VOX no constituyó campaña electoral

GABRIEL RUIZ sempi gold

La Audiencia Nacional decreta el ingreso en prisión del presidente de la estafa piramidal Sempi Gold

reforma vivienda empresa pirata

Una «empresa pirata», obligada a devolver el doble de lo que recibió por una reforma que nunca hizo

ChatGPT Image 30 jun 2026, 19_04_14

Se despidió y luego se arrepintió, pero la empresa mantuvo la dimisión: el Supremo declara despido improcedente

Tribunal Supremo

El Supremo blinda su doctrina: la Inspección de Trabajo no puede entrar en el domicilio de una empresa sin autorización judicial