Al igual que millones de estadounidenses, Ken Donaldson pasó una parte de su fin de semana de Acción de Gracias buscando ofertas en línea por el feriado, en especial rebajas en esas populares ollas a presión de potes múltiples que pueden cocinar una cazuela en minutos. Después de un poco de investigación, encontró un posible excelente descuento.

"Sabía que ahora se están fabricando ollas a presión inalámbricas?" me dijo Donaldson, sacudiendo su cabeza con incredulidad cuando nos reunimos a través de una videoconferencia en diciembre.

Para un lego, una olla que se conecta a un teléfono inteligente y que permite al usuario monitorear y cocinar desde la distancia puede sonar como una práctica herramienta. Para Donaldson, no obstante, es prácticamente una invitación a que un pirata informático o hacker robe sus datos – o posiblemente haga explotar su cocina.

Eso es porque Donaldson, un experto en seguridad informática en la firma de tecnología M.C. Dean, pasa sus días intentando disuadir a los delincuentes informáticos. Para demostrar la facilidad con la que un experimentado hacker podría proceder, Donaldson me muestra un dispositivo llamado "receptor de radio definida por software", una pequeña caja rectangular, disponible en línea por alrededor de $200 dólares, que puede interceptar y recopilar datos transmitidos de manera inalámbrica. Los hackers han recientemente utilizado una herramienta similar para capturar la huella cibernética de un llavero transmisor de Tesla, luego aplicaron ingeniería inversa para crear un duplicado de la llave y abrir los vehículos a su antojo. Aunque tal vez no sea tan atractiva como un Tesla, una olla a presión podría no obstante brindarle a un hacker la llave hacia un tesoro de valiosa información.

Una rápida búsqueda en la base de datos de la Comisión de Comunicaciones Federales mostraría los datos del informe de prueba del dispositivo, las frecuencias inalámbricas que utiliza, sus mecanismos de codificación, y posiblemente incluso su chip y datos de criptografía. El sitio Web Shodan, un motor de búsqueda que navega por Internet buscando dispositivos conectados, podría informarle al hacker la ubicación del dispositivo, y posiblemente a qué otro dispositivo del hogar se encuentra conectado.

"Si alguien pasó el tiempo suficiente en esto, encontrará vulnerabilidades, y se introducirá en el funcionamiento interno de dicho dispositivo", dijo Donaldson - el funcionamiento interno lo pueden utilizar como una entrada hacia la red del hogar y los dispositivos conectados a dicha red.

La olla a presión es un pequeño ejemplo de lo que se ha convertido en una alarmante tendencia en crecimiento: individuos con malos antecedentes que violan puntos vulnerables de ingreso para acceder a redes más extensas que pueden brindar todo tipo de valiosa información. A medida que los dispositivos y sistemas de edificios evolucionan con rapidez de simples a inteligentes e interconectados, los entendidos hackers han identificado una gran cantidad de nuevos caminos que pueden explotar para lanzar sus ataques tanto en redes privadas como corporativas. Los hogares promedio podrían presentar alrededor de decenas de estos vulnerables puntos de ingreso, desde aplicaciones inteligentes hasta cámaras Web y computadoras personales. A modo comparativo, las compañías, hospitales, e instalaciones de fabricación – blancos mucho más atractivos para los delincuentes informáticos – pueden contener miles de dispositivos y sistemas inteligentes e interconectados, muchos listos para el ataque, incluso sistemas de rociadores, alarmas de incendio, sistemas de calefacción, ventilación y acondicionamiento de aire, cámaras de seguridad, ascensores, sistemas de credenciales, máquinas expendedoras de tickets de estacionamiento, trabas automáticas de puertas, y muchos más.

El consenso entre los expertos en seguridad informática es que existe un largo camino por recorrer para fortalecer estos sistemas contra ataques. "La comparación de la olla a presión aplica a una alarma de incendio, a un rociador, o a cualquier componente inteligente o conectado de un sistema de un edificio, sistema de seguridad humana, o sistema de automatización en el que uno pueda pensar", dijo Donaldson. "Son todos vulnerables".

Una vez que el hacker logra su ingreso, por ejemplo, a un sistema de alarma de incendio de una extensa compañía, por lo general lo único que necesita hacer es seguir las vías digitales que conectan los sistemas para llegar a las bases de datos con información crítica por las que las compañías pagan grandes sumas para defender. Si un delincuente informático puede violar las defensas de las bases de datos, podrá robar esa información, con frecuencia números de tarjetas de crédito de clientes. Cada vez más, los hackers capturan y codifican la información, y le exigen a la organización que pague un rescate para devolvérsela.

La cantidad y frecuencia de estas conspiraciones está creciendo a nivel mundial [vea algunos de los Grandes blancos]. Los delitos informáticos ahora le cuestan a la economía mundial aproximadamente $600 mil millones de dólares por año, una cifra mayor a los $445 mil millones en el 2015, según un informe de la firma sobre seguridad informática McAfee y el Centro para Estudios Estratégicos e Internacionales. Los ataques de cibersecuestro de datos o ransomware en Estados Unidos únicamente costaron aproximadamente $7.5 mil millones de dólares en el 2019, según un informe de la compañía en seguridad informática Emsisoft, y se espera que sigan creciendo.

A los expertos les preocupa que los delincuentes informáticos puedan utilizar los sistemas de protección contra incendios y seguridad humana como medio de ataque, ya sea como una retaguardia hacia redes corporativas más extensas o como blancos para invalidar o manipular. Activar una alarma de incendio, por ejemplo, podría destrabar las puertas de emergencia externas, brindando un acceso físico para que los delincuentes puedan ingresar al edificio a fin de robar datos o desactivar sistemas.

Incluso más alarmante, es posible que los hackers puedan tomar control de los sistemas con la intención de herir a las personas o destruir propiedades. Los investigadores han demostrado, por ejemplo, que sería posible acceder ilegalmente a un extenso sistema de almacenamiento de energía y llevarlo intencionalmente a un estado inestable o incluso hacerlo explotar. Estas preocupaciones no son todas hipotéticas: en el 2014, hackers se infiltraron por los controles de una planta siderúrgica alemana y desactivaron el cierre de un alto horno, causando un extensivo daño en la planta.

Todos los sistemas inteligentes de edificios, desde cerraduras de puertas a ascensores son vulnerables a ataque
Todos los sistemas inteligentes de edificios, desde cerraduras de puertas a ascensores son vulnerables a ataque.  

 

Si bien los descarados ataques físicos son poco frecuentes, la variedad de ataques contra los sistemas del edificio parece estar en aumento [vea "Carrera de conocimientos"]. Eso les ha dado una pausa a los funcionarios en la industria de protección contra incendios – y llevó a la acción. El año pasado, la rama de investigación de NFPA, la Fundación de Investigación de Protección contra Incendios (FPRF), lanzó un proyecto llamado "Seguridad informática para sistemas de protección contra incendios" para comenzar con los debates sobre cómo preparar a la industria para defenderse contra dichos ataques. El proyecto está encabezado por el empleador de Donaldson, M.C. Dean, que se especializa en sistemas de edificios inteligentes y seguridad. Se publicará a principios del 2021 una revisión de la literatura de investigaciones pasadas y de las normas que abordan el tema, seguida de un taller en donde expertos en campos relacionados se reunirán para describir las acciones que deben tomarse a continuación.

"La seguridad informática es un tema tan amplio que realmente necesitamos un punto de partida, y considero que este proyecto es un gran comienzo", dijo Jens Alkemper, director del área de investigación para ciencias de los equipos, informática y de los materiales en la compañía de seguros FM Global y asesor del proyecto de la FPRF. "Esperamos que el proyecto influya en la forma de pensar y genere mucha más conciencia sobre el tema. En mi opinción, la educación y el conocimiento son los dos mayores problemas que tenemos ahora. Todo lo demás emerge desde ahí".

Vulnerabilidades del sistema

Para los hackers experimentados como Tyler Robinson, acceder a los sistemas de los edificios puede ser a veces vergonzosamente fácil. Robinson es conocido en la jerga de la industria como un sombrero blanco o hacker ético. Las compañías lo contratan para que intente infiltrarse en sus sistemas y reporte las vulnerabilidades que encuentra. "Me pagan por violar la información, no tengo que ir preso", me dijo, sonriendo.

Lo que él descubre es con frecuencia la peor pesadilla de seguridad informática de sus clientes. Robinson dice que, durante sus más de dos décadas en el negocio, no ha nunca fracasado en desmantelar un sistema, ya sea ingresando físicamente a un edificio para robar datos o accediendo ilegalmente de forma remota. Ha logrado su acceso a redes de energía eléctrica, centros de datos, fábricas y fabricantes de automóviles, entre otros blancos.

Si bien no todo ataque cibernético se origina en un sistema del edificio, esas herramientas y sus vulnerabilidades son blancos cada vez más atractivos para los hackers que tienden a favorecer el camino de la menor resistencia, dijo Robinson. "Todos estos dispositivos inteligentes y todas estas interconectividades dejan una huella bastante extensa desde el punto de vista de un atacante, y muchas cuentan con software desactualizado y sistemas operativos desactualizados", convirtiéndose en marcas fáciles, me dijo. "Estos dispositivos son por lo general un poco más antiguos, y con frecuencia no están segmentados [desde las redes principales] – con frecuencia se los coloca en una red y se los olvida. Analicemos algunas de las violaciones que han sido noticias recientes – sistemas de calefacción, ventilación y acondicionamiento de aire, sistemas de automatización, o incluso sistemas de control industrial que son en un principio tomados por los hackers".

Además de presentar un más fácil acceso que una típica red informática, los sistemas de edificios están también con frecuencia bien conectados, brindándoles a los hackers un fácil pasaje a blancos más valiosos. Los sistemas de calefacción, ventilación y acondicionamiento de aire y los sistemas de alarmas, por ejemplo, están con frecuencia en la misma red que los controles principales del edificio, porque los gerentes de operaciones del edificio desean la conveniencia de acceder a estos sistemas desde una ubicación central. "Eso es muy valioso desde el punto de vista del atacante, porque una vez que pueden acceder al control del edificio, eso los conecta con cientos de otros sistemas", dijo Robinson.

De modo alarmante, Robinson ha descubierto que explotar las propias prácticas de manejo de seguridad contra incendios de la compañía es también una efectiva herramienta. "Uno descubre quién es la compañía de extinción de incendios, y luego uno puede llegar y simular ser ellos y hacer de cuenta que está buscando extintores de incendio por todo el edificio", dijo. "Se puede obtener acceso a áreas realmente sensibles porque estos dispositivos de seguridad deben estar dentro de esas áreas. La gente con frecuencia no asocia ni escudriña a los inspectores que llegan y hacen su trabajo en particular porque es obligatorio y es normal que lo hagan. No son considerados realmente como portadores de amenaza".

Un problema generalizado es que muchas compañías se han retrasado en considerar los sistemas operativos en sus edificios como vulnerables a las amenazas informáticas, dijo Phil Owen, director de aseguramiento de la información y seguridad informática en M.C. Dean. Y a pesar del inmenso crecimiento en los sistemas inteligentes y conectados a la Web en los edificios, pocos profesionales a cargo de su instalación y mantenimiento cuentan con conocimientos en seguridad informática – hasta ahora, nadie pensó que lo necesitaban. "La mentalidad general por mucho tiempo ha sido, ‘Tenemos que proteger nuestra propiedad intelectual corporativa, nuestra información sobre nóminas, nuestra información financiera, nuestros datos de recursos humanos.’ Es una mentalidad relativamente reciente pensar que ahora también se debe proteger el sistema que controla la iluminación de emergencia o de la alarma de incendio del edificio", dijo Owen.

Según una encuesta a cargo de Ponemon Institute, una firma de investigación en seguridad informática, el tiempo promedio que le lleva a un pequeño negocio instalar un programa auxiliar para corrección de software que elimine una vulnerabilidad conocida en la seguridad es de 102 días. Un problema es que muchos profesionales de sistemas de edificios no son ni siquiera conscientes de que deben verificar y realizar estas tareas. "Simplemente no está dentro de sus destrezas y no es en realidad lo que han estado acostumbrados a hacer", dijo Donaldson.

Existen otros desafíos también. Incluso si existe un nivel de conocimiento por parte del gerente del edificio, a veces el fabricante de equipos podría no contar con nuevos programas auxiliares para corrección de seguridad para sistemas previos, dijo Donaldson. En otros casos, la propia informática en el dispositivo podría ser demasiado limitada para poder compatibilizar con un moderno programa auxiliar para corrección del sistema de seguridad, dejándolo vulnerable al ataque. Los gerentes de edificios e instalaciones deben ser conscientes de estos problemas y asegurarse de que estos sistemas desactualizados estén separados de otras redes, pero muchos no saben cómo hacerlo.

 024
 Sistemas de protección de la propiedad 

 

Idealmente, los gerentes de instalaciones deben pensar sobre los sistemas de los edificios de la misma manera en que los profesionales de informática piensan en sus redes informáticas – como una amenaza a la seguridad que requiere de una constante vigilancia y monitoreo, dijo Jessica Chevreaux, gerente del programa de seguridad informática en M.C. Dean y coautora del informe de la FRPF. Lo inverso es también real: poca gente del área informática conoce demasiado sobre sistemas de edificios, dijo. Capacitar a ambas partes sobre el modo de trabajar juntas para proteger integralmente los bienes digitales de la compañía es esencial pero no está todavía propagado.

Los ingenieros de los sistemas de calefacción, ventilación y acondicionamiento de aire y de los sistemas contra incendios no necesariamente hablan el mismo idioma que la gente del campo de la informática, y definitivamente no comprenden los sistemas y vulnerabilidades del otro", dijo Chevreaux. "Este es un nuevo concepto que no cuenta ni siquiera con una estructura fija dentro de las compañías para que lo puedan manejar. No existe nadie en realidad puenteando la brecha".

Principios fundamentales de la seguridad

Con la seguridad informática en los sistemas de edificios aún en sus etapas iniciales, los expertos esperan que los proyectos como el de la FPRF puedan brindar el marco necesario para colocar a la seguridad de los edificios sobre un camino sólido.

"El éxito se reducirá a tomar los principios fundamentales desde el comienzo", dijo Robinson. Eso incluye brindar claras y factibles disposiciones sobre lo que se conoce como "higiene cibernética", como segmentación de la red, requisitos mínimos de la protección y del sistema para dispositivos inalámbricos y claves, mecanismos de autenticación, y fuerzas de trabajo de capacitación para comprender mejor la amenaza y sus responsabilidades.

"Esta pieza educativa tiene que formar parte del pensamiento y planificación de cada uno", dijo Alkemper, de FM Global. "Tenemos que comenzar a pensar sobre esto como una amenaza al igual que cualquier otra amenaza. Su edificio se puede incendiar sí. Se puede acceder ilegalmente a las cosas, de modo que hay que estar listo. Si uno lo planifica y anticipa, se puede manejar".

Los expertos también ven la necesidad de contar con disposiciones adicionales de códigos y normas, incluso posiblemente de NFPA. Actualmente, existen al menos 16 normas de NFPA con referencias a la seguridad informática, incluso NFPA 72®, Código Nacional de Alarmas de Incendio y Señalización, que incluye disposiciones y requisitos para abordar la seguridad informática para equipos, software, firmware, herramientas y métodos de instalación, así como la protección física y acceso a los equipos, vías de datos, pruebas y mantenimiento. El documento asimismo recientemente incluyó una nueva sección de referencia y su anexo titulado Disposiciones para la seguridad informática.

El proyecto en curso de la FPRF sobre seguridad informática ayudará a las partes interesadas "a comprender mejor las vulnerabilidades, la severidad de las consecuencias y los problemas de conocimiento que existen dentro de la comunidad de protección contra incendios… e informará (aún más) el proceso de elaboración de normas", dijo en una charla virtual reciente Jim Pauley, CEO y presidente de NFPA.

Alkemper dice que las normas adicionales sobre instalación y mantenimiento con la seguridad informática al frente podrían ayudar tanto a los trabajadores como fabricantes. "Uno puede tener un muy buen producto, pero si no se lo configura de la manera correcta, si no se manejan sus derechos de acceso de la manera correcta, si no controla esto y aquello, muchas de las herramientas de protección del edificio no funcionarán", dijo. "No sé exactamente cómo sería esa norma, pero ¿existirá alguna? Esperaría que así sea".

Mientras tanto, están comenzando a emerger prometedoras nuevas herramientas y tecnología. Entre ellas se incluye la inteligencia artificial y programas de aprendizaje automático que algún día podrán detectar de forma automática comportamientos anómalos en una red al realizar análisis de millones de puntos de datos de cuestión de milisegundos, luego alertar a los administrados del sistema. Los fabricantes de dispositivos inteligentes están obteniendo también nuevas y mejores actualizaciones de protección y productos más fortalecidos, una tendencia que los expertos dicen continuará avanzando a medida que los consumidores adquieran más conocimientos sobre las amenazas informáticas y comiencen a exigir una mejor protección.

Finalmente, quedará a criterio de cada organización individual adoptar los protocolos, capacitar a sus empleados, e instalar un sólido proceso para protegerlos. Si bien podría no ser posible detener por completo a un motivado atacante con tiempo y recursos ilimitados, Robinson y otros dicen, que se puede al menos ofrecer una resistencia suficiente como para desanimarlo. "Esas capas de defensa marcan una enorme diferencia en el nivel de esfuerzo y en el nivel de sofisticación requerido para acceder al sistema.", dijo Robinson. "Al final del día, si me cuesta mucho tiempo y energía, y solo tengo acceso 10 minutos a una red, ese es un elevado nivel de costo y acceso para la mayoría de los atacantes. A menos que usted sea un blanco de muy alto valor, probablemente lo saltearán y seguirán con el siguiente blanco".

JESSE ROMAN es editor asociado al NFPA Journal.