Un hacker en su gasolinera

Expertos en seguridad informática han detectado una serie de vulnerabilidades “desconocidas hasta ahora” que han dejado a las estaciones de servicio “de todo el mundo” expuestas durante años a una posible toma de control en remoto, aunque se desconoce si el agujero en la seguridad tuvo algún tipo de consecuencias reales.

Estas vulnerabilidades se detectaron en un controlador de estación de servicio del que existen más de 1.000 unidades instaladas y conectadas online. Casi el 10% de estos incidentes se han registrado en gasolineras de España. India y Estados Unidos son los países más afectados.

El hallazgo se produjo cuando Ido Naor, analista de seguridad senior de Kaspersky Lab, y otro experto detectaron el controlador en el transcurso de una investigación no relacionada con dispositivos con conexiones abiertas a Internet.

En muchos casos, el controlador se había colocado en las gasolineras hacía más de una década, conectándose a Internet desde entonces.

Este es el segundo agujero de seguridad poco habitual que se conoce en los últimos días, después de que se conociera que delincuentes informáticos habían logrado manipular cajeros automáticos para conseguir que «escupieran» billetes.

Según detalla Kaspersky Lab en un comunicado, el controlador, que se ejecuta en una máquina Linux, opera con altos privilegios. Los analistas descubrieron una serie de vulnerabilidades que dejan el dispositivo y los sistemas a los que está conectado abiertos a un ciberataque ya que los ciberdelincuentes pudieron acceder, monitorizar y configurar muchos de los parámetros de la estación de servicio.

Con este poder en sus manos, un hacker, capaz de eludir la pantalla de inicio de sesión y obtener acceso a las interfaces principales, podría llegar a realizar acciones como apagar todos los sistemas de abastecimiento de combustible, cambiar los precios de los combustibles, producir fugas de combustible o incluso sortear los terminales de pago para robar dinero, ya que el controlador en cuestión se conecta directamente con la terminal de pago, por lo que podrían secuestrar las transacciones de pago.

Además, se pueden alterar matrículas y las identidades de los conductores, ejecutar códigos en la unidad controladora o moverse libremente dentro de la red de estaciones de servicio.

“Cuando se trata de dispositivos conectados, es fácil centrarse en lo nuevo y olvidarse de aquellos productos instalados hace muchos años que podrían dejar la puerta abierta de par en par para un ciberataque. Es mejor no pensar en el daño que podría llegar a producirse al sabotear una gasolinera. Ya hemos compartido con el fabricante nuestros descubrimientos”, afirma Ido Naor.

Las vulnerabilidades se han comunicado al fabricante y a las autoridades, según Kaspersky, que sin embargo no ha informado de las estaciones de servicio afectadas ni de su localización exacta, aunque sí ha precisado qué países se han visto más afectados (ver gráfico adjunto).