Detrás del pulido exterior de muchos edificios modernos se encuentran sistemas obsoletos con vulnerabilidades esperando ser encontradas.
12 de diciembre de 2025
•
,
3 min. leer
“Una ciudad de los mil días cero» es el título parcial de una charla en Black Hat Europe 2025. Estoy seguro de que apreciarán por qué estas pocas palabras despertaron mi interés lo suficiente como para dedicar tiempo a la presentación; especialmente teniendo en cuenta que en 2019 pronuncié una charla sobre la evolución del riesgo de los edificios inteligentes en Segurinfo en Argentina.
La charla en Black Hat, impartida por Gjoko Krstic de Zero Science Lab, se centró en un proveedor de sistemas de gestión de edificios y en cómo la evolución de uno de sus productos a través de varias adquisiciones hizo que terminara siendo una pieza de software increíblemente vulnerable. En resumen, la charla destacó que hay más de 1.000 edificios en todo el mundo que utilizan el sistema de gestión de edificios (BMS) del proveedor ejecutándose en una plataforma de software con una larga lista de vulnerabilidades. Para agravar el problema, el software está alojado en direcciones IP públicas; por lo tanto, es accesible desde Internet.
En un ejemplo, Gjoko explicó que la causa raíz de una vulnerabilidad se remonta a una base de código de firmware de hace 18 años. Debido a varias adquisiciones de empresas y a la falta de auditoría y debida diligencia durante el proceso de fusión y adquisición sobre los aspectos de seguridad del software, las vulnerabilidades parecen haber sido en gran medida ignoradas hasta hace poco.
La divulgación coordinada ha generado numerosas soluciones, pero el proceso ha dado como resultado la solución de un problema dejando intacta la causa raíz, exponiendo así más vulnerabilidades más adelante. El mensaje aquí es claro: no se limite a utilizar una tirita ignorando la causa subyacente. Es esencial que las empresas realicen auditorías completas del código después de una notificación de vulnerabilidad y publiquen un parche para garantizar que se identifique y resuelva la causa raíz.
Mientras que el papel blanco que acompaña la charla ofrece varios mensajes para los desarrolladores de software de sistemas de infraestructura crítica, hay uno que creo que debe destacarse. En 2017, mis colegas de ESET publicaron detalles de uno de los primeros programas maliciosos conocidos dirigidos a sistemas de control industrial (ICS) y el primero dirigido específicamente a redes eléctricas. Un comentario que recuerdo claramente de la investigación es que el protocolo utilizado por el dispositivo ICS en cuestión nunca fue diseñado para conectarse a Internet.
La charla de Gjoko planteó una preocupación similar: el sistema de gestión del edificio no fue diseñado para estar disponible para el público en Internet, y el proveedor recomienda protegerlo detrás de una red privada virtual (VPN).
pidiendo problemas
Si bien las vulnerabilidades en el software son, por supuesto, un problema y elogio la investigación detallada, hay un problema más amplio: algunos sistemas disponibles en direcciones IP públicas realmente deberían protegerse mediante capas de seguridad adicionales, como una VPN.
Los sistemas de gestión de edificios son un ejemplo de esto. El problema aquí puede surgir de la propiedad del edificio en contraposición al control del inquilino: el propietario puede no tener el conocimiento, los recursos o el enfoque de seguridad reacio al riesgo que tiene el inquilino; al mismo tiempo, es posible que el inquilino no se dé cuenta del riesgo significativo para su negocio causado por la falta de seguridad relacionada con los servicios del edificio.
El riesgo potencial es significativo. Por ejemplo, un actor malintencionado que pueda controlar y ajustar la calefacción en una sala de servidores podría causar una interrupción operativa o, al usar los controles de incendio para abrir todas las puertas, podría permitir el ingreso de personas no autorizadas al edificio (esto suena un poco como Misión: Imposible, pero es muy plausible). Todas las empresas deben garantizar que los servicios que forman la estructura de sus edificios estén protegidos al mismo nivel que sus propios sistemas corporativos, sean parcheados periódicamente y auditados con una cadencia similar a sus auditorías de ciberseguridad.
Hay otros tipos de sistemas que siguen siendo de acceso público a pesar de razones abrumadoras para estar detrás de otra capa de seguridad. Un ejemplo son los servidores de protocolo de escritorio remoto (RDP), algunos sin autenticación multifactor, todavía son accesibles en direcciones IP públicas.
Como principio, si eludir o comprometer una pantalla de inicio de sesión da como resultado un acceso directo a una aplicación o red corporativa, entonces debería haber una seguridad mejorada utilizando una VPN o tecnología similar. En algún momento, un ciberdelincuente encontrará una vulnerabilidad, diseñará socialmente las credenciales de inicio de sesión o accederá por fuerza bruta al sistema. Es sólo cuestión de tiempo y es algo fácilmente evitable.
Acerca del autor
