Cientos de gasolineras en Espa√Īa y miles en total en otros pa√≠ses son completamente vulnerables a ataques inform√°ticos que, entre otras cosas, podr√≠an poner en riesgo la seguridad de sus tanques de combustible. Un experto en seguridad ha destapado el fallo. Lo m√°s grave: en Espa√Īa, por ejemplo, ni autoridades ni petroleras han solucionado a√ļn el problema.

El agujero de seguridad lo destap√≥ a finales de marzo Amador Aparicio, ingeniero superior en inform√°tica y especialista en seguridad. Su hallazgo, detallado por √©l mismo en un art√≠culo en el blog Security by Default, fue preocupante: por descuido o negligencia profesional, muchas gasolineras tienen su propia red privada conectada a Internet y, lo grave, completamente desprotegida. A esta red interna se conectan todos sus sistemas, desde la caja registradora a los dispositivos de monitorizaci√≥n de los tanques de combustible. Aparicio descubri√≥ no solo que la red est√° conectada a Internet y que los env√≠os de datos no est√°n cifrados, sino que el acceso a sistemas cr√≠ticos ni siquiera est√° protegido con una simple contrase√Īa y nombre de usuario. Pudo entrar hasta la cocina, desde las c√°maras de vigilancia o el TPV para cobrar a los clientes, hasta los sistemas de control de los tanques de combustible. De hecho, cualquier persona con m√≠nimos conocimientos inform√°ticos puede acceder y manipular a placer los sistemas de la gasolinera con consecuencias potencialmente muy graves.

Advertisement

Amador lo explica en conversaci√≥n telef√≥nica con Gizmodo en Espa√Īol:

El fallo permite, por ejemplo, manipular el sistema de alarmas de los tanques de combustible. Cada gasolinera tiene unos tanques donde almacena combustible. Estos cuentan con dispositivos que monitorizan el estado de los tanques, su temperatura, si tienen gasolina o gasóleo, cuánto queda... Puedes entrar y desactivar sin problema las alarmas, como las de temperatura. Si la temperatura del tanque empieza a subir por un fallo técnico, el operario no recibiría ninguna alarma. Imagínate qué pasaría...

Desde luego, nada bueno.

¬ŅC√≥mo es posible?

Amador destap√≥ el problema partiendo de b√ļsquedas en Shodan, un buscador que permite encontrar dispositivos (routers, servidores...) conectados a Internet. Busc√≥ primero por un tipo de conversor utilizado en las gasolineras para enviar los datos desde los tanques de combustible al PC de un operario (en concreto, un conversor a Ethernet del tipo GC-NET2 32-DTE). Bingo. Encontr√≥ una lista de gasolineras que lo utilizaban.

Advertisement

‚ÄúLuego prob√© a buscar cu√°les de estos conversores se conectaban al servicio Telnet para monitorizar los tanques en remoto, sin tener que acudir f√≠sicamente a la gasolinera. La sorpresa fue que hay decenas de gasolineras con estos equipos conectados a Internet y, adem√°s, no utilizan ni usuario ni contrase√Īa. Hab√≠an dejado la configuraci√≥n por defecto del sistema. Basta descargarte el manual de Internet, ver cu√°l es la configuraci√≥n por defecto y entrar hasta la cocina‚ÄĚ, explica.

Dicho y hecho. Pudo abrir sin problemas la consola de control que permite cambiar todos los par√°metros y alertas de control de los tanques de combustible. Debajo, un pantallazo del sistema de una gasolinera en Espa√Īa conectado al servicio Telnet y sin securizar, completamente abierto a cualquiera (las IPs y datos cr√≠ticos de identificaci√≥n han sido tapados):

Advertisement

Debajo otro pantallazo obtenido esta misma semana en el que se ha accedido al control de las alertas de un tanque de combustible, conectado a Internet, sin cifrado y sin contrase√Īas y usuario, completamente abierto. Los campos ‚Äútrigger input‚ÄĚ, ‚Äúmessage‚ÄĚ o ‚Äúpriority‚ÄĚ permiten configurar las alertas en casos de emergencia:

Amador no es el √ļnico que ha comprobado la vulnerabilidad. Javier Olmedo, programador y t√©cnico inform√°tico, ley√≥ el art√≠culo de Aparicio y decidi√≥ probar por su cuenta. ‚ÄúAl buscar encontr√© al menos 400 gasolineras en Espa√Īa que est√°n completamente sin securizar. Unas eran vulnerables a la monitorizaci√≥n de los tanques, otras ademas permit√≠an modificar los niveles o hacer saltar alarmas por fugas (aunque realmente todo estuviese correcto), y otras acceder a c√°maras de seguridad o a los servidores‚ÄĚ, explica Javier por email a Gizmodo en Espa√Īol.

Advertisement

Olmedo pudo comprobar, paso por paso, que el descubrimiento de Amador era tan preocupante como cierto. ‚ÄúY la vulnerabilidad de los tanques no es la √ļnica‚ÄĚ, dice Amador.

Al tener su red privada conectada a Internet y sin securizar, cualquier dispositivo que est√© conectado a esa red es vulnerable. Pude acceder a las c√°maras IP de seguridad y ver en tiempo real a la gente pagando o echando gasolina en el surtidor. Pude comprobar que varias estaciones de servicio tienen instalado Windows XP, sistema al que Microsoft ya no ofrece soporte desde hace un a√Īo. Y lo peor: tienen activado el escritorio remoto con los puertos abiertos. Es decir, cualquiera puede entrar y robar los datos de los clientes que han pagado con tarjeta, por ejemplo, o las im√°genes de las c√°maras de seguridad y subirlas a YouTube.

Traducido: un aut√©ntica verg√ľenza, un caos de seguridad y privacidad en unas infraestructuras tan sensibles como las gasolineras.

Advertisement

En Espa√Īa hay en la actualidad unas 10.600 estaciones de servicio. Aparicio desconoce cu√°ntas son vulnerables a ataques inform√°ticos por este fallo, pero cree que el n√ļmero es considerable. Prefiere no revelar el nombre de las compa√Ī√≠as de las gasolineras afectadas, pero dice suficiente: ‚Äúpertenecen a casi todas las compa√Ī√≠as petroleras, entre ellas las principales del pa√≠s‚ÄĚ.

Repsol: ‚Äúno vamos a comentar nada‚ÄĚ

Advertisement

Tras el hallazgo, Aparicio contact√≥ en Espa√Īa con el Grupo de Delitos Telem√°ticos de la Guardia Civil. A trav√©s de diversos contactos lo puso en conocimiento de capit√°n del grupo, C√©sar Lorenzana. Sin embargo, parece que el asunto se ha quedado olvidado en la mesa de alg√ļn despacho. El Grupo de Delitos Telem√°ticos de la Guardia Civil asegura a trav√©s de su portavoz que no tienen constancia de ninguna denuncia oficial sobre el tema.

‚ÄúDesconocemos cu√°l es la situaci√≥n. Para que la denuncia nos conste oficialmente se debe realizar mediante un procedimiento determinado. Quiz√°s se ha trasladado a alg√ļn miembro del grupo de manera informal, en conversaciones privadas‚ÄĚ, asegura telef√≥nicamente el portavoz del Grupo de Delitos Telem√°ticos de la Guardia Civil. Hemos tratado de contactar repetidamente con el capit√°n C√©sar Lorenzana, sin √©xito.

Sorprendentemente, el asunto tampoco ha hecho saltar las alarmas de las compa√Ī√≠as petroleras. Gizmodo en Espa√Īol ha podido confirmar que entre las gasolineras afectadas est√°n estaciones de servicio de Repsol y Campsa. ¬ŅC√≥mo es posible que un agujero de seguridad tan b√°sico y tan grave no haya sido detectado y solucionado por las compa√Ī√≠as? ‚ÄúContamos con las m√°ximas medidas de seguridad en todas nuestras instalaciones‚ÄĚ, dice un portavoz de Repsol en conversaci√≥n telef√≥nica.

Advertisement

Claramente, la respuesta debe tratarse de una broma: el fallo de seguridad confirma justo lo contrario, que no cuentan con todas las medidas de seguridad necesarias. ‚ÄúNo todas las estaciones de servicio de Repsol son propiedad nuestra, muchas son franquicias‚ÄĚ, explica la compa√Ī√≠a. A√ļn as√≠, est√°n bajo su marca. ¬ŅNo hay unos procedimientos b√°sicos de auditor√≠a de seguridad? ¬ŅC√≥mo se explica un fallo as√≠? ‚ÄúNo vamos a comentar nada‚ÄĚ.

M√°s all√° de la burocracia y de compa√Ī√≠as tratando de salvar su imagen, la realidad es bastante m√°s serie y urgente. Ahora mismo los sistemas de cientos de gasolineras en Espa√Īa (y otros pa√≠ses) siguen destripados, abiertos a cualquier que quiera manipularlos. Hasta que no lo solucionen, la pr√≥xima vez que vayas a una gasolinera recuerda: alguien puede estar robando los datos de la tarjeta con la que acabas de pagar, grab√°ndote desde la c√°mara de seguridad, o manipulando el tanque de combustible justo debajo de tus pies.

Advertisement

Contacta con el autor del artículo en manuel@gizmodo.com

Foto 1: composición sobre foto de Alexandru Nika/Shutterstock; Foto 2: prakob/Shutterstock

Click here to view this adampash.com embed.

Advertisement

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)