Según Alberto García Illera en España no hay concepto de seguridad y ha destapado agujeros de seguridad en algo tan cotidiano como son las máquinas expendedoras de billetes de metro. Os dejo el artículo de Pablo Romero publicado en www.elmundo.es
Los fallos y errores de ‘ciberseguridad’ aparecen cada vez más en la vida cotidiana. Alberto García Illera, en una charla en el Defcon de Las Vegas -el principal foro de ‘hackers’ del planeta- puso sobre la mesa que los problemas de seguridad digital pueden hallarse en algo tan cotidiano como las máquinas expendedoras de billetes de tren.
De hecho, este joven matemático informático de 24 años ha mostrado que es posible acceder a datos críticos en las máquinas de billetes Metro de Madrid y Renfe. Pese a que esto no está al alcance de cualquiera -de hecho, hay que ser un experto para acceder a etos sistemas-, esta vulnerabilidad está ahí y debe subsanarse.
«Mi mayor interés es que estos fallos no causen ningún perjuicio, ni a las empresas implicadas ni -sobre todo- a los usuarios de la red de transporte», afirma Alberto. «Me gustaría que este aspecto quede muy claro», remarca.
En una entrevista a través de correo electrónico y desde Las Vegas, Alberto comenta para los lectores del Navegante qué hay detrás de estos agujeros de seguridad y hace un llamamiento a los responsables políticos para que se impliquen en la seguridad informática.
¿Cómo te diste cuenta de los errores en las máquinas de billetes?
Soy usuario habitual de Renfe y Metro de Madrid. Un día mientras pagaba mi billete me di cuenta de que la máquina de al lado tenia un mensaje de error que despertó mi curiosidad. A raíz de aquello me informé sobre el tipo de máquinas utilizadas, sistema operativo usado y demás características propias de este tipo de dispositivo.
¿Fueron fáciles de detectar?
Se ha hablado mucho en los foros y comentarios de las noticias a cerca de este tema. Quiero dejar claro que ni detectarlo y mucho menos explotarlo es una tarea sencilla y por tanto una persona sin un cierto nivel de conocimientos en materia de seguridad, sería capaz de realizar la explotación de dichos sistemas.
¿A qué se deben exactamente estas vulnerabilidades (sistema operativo obsoleto, puertos abiertos, etc.)? ¿Son antiguas y conocidas, o son realmente nuevas?
Las vulnerabilidades descubiertas no se deben a que los sistemas estén desactualizados. Se trata de fallos de diseño, es decir, que es la base del funcionamiento de las aplicaciones lo que provoca que los sistemas no sean tan seguros como deberían. Cabe destacar que sí que existe una infraestructura de red robusta, sin embargo utilizando ciertas técnicas no comunes es posible obtener el control remoto de los terminales.
¿Por qué no quieres difundir los vídeos de prueba?
Muchas personas se me acercaron tras la charla para pedirme más información sobre el tema. Así mismo varias responsables de transporte de otros países me pidieron el vídeo con la prueba de concepto de uno de los fallos. Si embargo mi posición negativa fue rotunda. Por petición expresa mía las diapositivas utilizadas no fueron añadidas al DVD con el material de la Defcon y por tanto del resto de los ponentes.
«Mi interés es que el sistema de transporte sea más seguro»
He impartido multitud de cursos a los Cuerpos y Fuerzas de Seguridad del Estado, a profesores de educación pública de España e incluso he aportado informes para obtener la IP de los servidores que alojan contenidos de pederastia. Mi interés es que el sistema de transporte sea más seguro. Por ello hasta que no se solucionen los problemas que actualmente existen no voy a publicar información referente a la explotación de las vulnerabilidades encontradas.
¿Cómo se podrían solucionar?
Para algunos de los fallos la solución es relativamente sencilla. Para otros, sin embargo, debido a que el problema es de diseño, habría que cambiar el modo de funcionamiento de los sistemas. Yo como siempre he dicho ofrezco mi ayuda para lo que los encargados de estos sistemas necesiten.
¿Son vulnerabilidades que comparten otro tipo de máquinas similares?
Son vulnerabilidades específicas de los tipos de máquinas tratados.
¿Qué consejo darías a los usuarios para evitar riesgos?
Hoy por hoy España es de los pocos países en los que sigue siendo habitual dejar la tarjeta de crédito al camarero para que se la lleve fuera de nuestra vista y nos haga el cobro. Es totalmente posible y técnicamente trivial que a la par del pago se clone la tarjeta. Pero sin embargo seguimos sintiéndonos cómodos con este procedimiento. Desgraciadamente, en España no existe el concepto de seguridad. Espero y deseo que mi charla haya servido para que todos nosotros y sobre todo los responsables políticos tomen mayores medidas en materia de seguridad informática.
Si en vez de haber sido yo el que descubrió estos fallos, hubiese sido una persona que le quisiese haber sacado rédito económico, lo más seguro es que nadie estuviese ahora mismo tomando las medidas correctoras necesarias para proteger la privacidad del usuario de a pie.