{"id":109,"date":"2026-03-16T14:08:23","date_gmt":"2026-03-16T14:08:23","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/16\/ese-dispositivo-fue-disenado-para-estar-en-internet\/"},"modified":"2026-03-16T14:08:23","modified_gmt":"2026-03-16T14:08:23","slug":"ese-dispositivo-fue-disenado-para-estar-en-internet","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/16\/ese-dispositivo-fue-disenado-para-estar-en-internet\/","title":{"rendered":"\u00bfEse dispositivo fue dise\u00f1ado para estar en Internet?"},"content":{"rendered":"
\n

Detr\u00e1s del pulido exterior de muchos edificios modernos se encuentran sistemas obsoletos con vulnerabilidades esperando ser encontradas.<\/p>\n

\n
\"Tony<\/picture><\/div>\n<\/div>\n

\n 12 de diciembre de 2025<\/span>
\n \u2022 <\/span>
\n , <\/span>
\n 3 min. leer<\/span>\n <\/p>\n

\n \"Black<\/picture> <\/div>\n<\/div>\n
\n

\u201cUna ciudad de los mil d\u00edas cero<\/a>\u00bb es el t\u00edtulo parcial de una charla en Black Hat Europe 2025. Estoy seguro de que apreciar\u00e1n por qu\u00e9 estas pocas palabras despertaron mi inter\u00e9s lo suficiente como para dedicar tiempo a la presentaci\u00f3n; especialmente teniendo en cuenta que en 2019 pronunci\u00e9 una charla sobre la evoluci\u00f3n del riesgo de los edificios inteligentes en Segurinfo en Argentina.<\/p>\n

La charla en Black Hat, impartida por Gjoko Krstic de Zero Science Lab, se centr\u00f3 en un proveedor de sistemas de gesti\u00f3n de edificios y en c\u00f3mo la evoluci\u00f3n de uno de sus productos a trav\u00e9s de varias adquisiciones hizo que terminara siendo una pieza de software incre\u00edblemente vulnerable. En resumen, la charla destac\u00f3 que hay m\u00e1s de 1.000 edificios en todo el mundo que utilizan el sistema de gesti\u00f3n de edificios (BMS) del proveedor ejecut\u00e1ndose en una plataforma de software con una larga lista de vulnerabilidades. Para agravar el problema, el software est\u00e1 alojado en direcciones IP p\u00fablicas; por lo tanto, es accesible desde Internet.<\/p>\n

En un ejemplo, Gjoko explic\u00f3 que la causa ra\u00edz de una vulnerabilidad se remonta a una base de c\u00f3digo de firmware de hace 18 a\u00f1os. Debido a varias adquisiciones de empresas y a la falta de auditor\u00eda y debida diligencia durante el proceso de fusi\u00f3n y adquisici\u00f3n sobre los aspectos de seguridad del software, las vulnerabilidades parecen haber sido en gran medida ignoradas hasta hace poco.<\/p>\n

La divulgaci\u00f3n coordinada ha generado numerosas soluciones, pero el proceso ha dado como resultado la soluci\u00f3n de un problema dejando intacta la causa ra\u00edz, exponiendo as\u00ed m\u00e1s vulnerabilidades m\u00e1s adelante. El mensaje aqu\u00ed es claro: no se limite a utilizar una tirita ignorando la causa subyacente. Es esencial que las empresas realicen auditor\u00edas completas del c\u00f3digo despu\u00e9s de una notificaci\u00f3n de vulnerabilidad y publiquen un parche para garantizar que se identifique y resuelva la causa ra\u00edz.<\/p>\n

Mientras que el papel blanco<\/a> que acompa\u00f1a la charla ofrece varios mensajes para los desarrolladores de software de sistemas de infraestructura cr\u00edtica, hay uno que creo que debe destacarse. En 2017, mis colegas de ESET publicaron detalles de uno de los primeros programas maliciosos conocidos dirigidos a sistemas de control industrial (ICS) y el primero dirigido espec\u00edficamente a redes el\u00e9ctricas. Un comentario que recuerdo claramente de la investigaci\u00f3n es que el protocolo utilizado por el dispositivo ICS en cuesti\u00f3n nunca fue dise\u00f1ado para conectarse a Internet.<\/p>\n

La charla de Gjoko plante\u00f3 una preocupaci\u00f3n similar: el sistema de gesti\u00f3n del edificio no fue dise\u00f1ado para estar disponible para el p\u00fablico en Internet, y el proveedor recomienda protegerlo detr\u00e1s de una red privada virtual (VPN).<\/p>\n

pidiendo problemas<\/h2>\n

Si bien las vulnerabilidades en el software son, por supuesto, un problema y elogio la investigaci\u00f3n detallada, hay un problema m\u00e1s amplio: algunos sistemas disponibles en direcciones IP p\u00fablicas realmente deber\u00edan protegerse mediante capas de seguridad adicionales, como una VPN.<\/p>\n

Los sistemas de gesti\u00f3n de edificios son un ejemplo de esto. El problema aqu\u00ed puede surgir de la propiedad del edificio en contraposici\u00f3n al control del inquilino: el propietario puede no tener el conocimiento, los recursos o el enfoque de seguridad reacio al riesgo que tiene el inquilino; al mismo tiempo, es posible que el inquilino no se d\u00e9 cuenta del riesgo significativo para su negocio causado por la falta de seguridad relacionada con los servicios del edificio.<\/p>\n

El riesgo potencial es significativo. Por ejemplo, un actor malintencionado que pueda controlar y ajustar la calefacci\u00f3n en una sala de servidores podr\u00eda causar una interrupci\u00f3n operativa o, al usar los controles de incendio para abrir todas las puertas, podr\u00eda permitir el ingreso de personas no autorizadas al edificio (esto suena un poco como Misi\u00f3n: Imposible, pero es muy plausible). Todas las empresas deben garantizar que los servicios que forman la estructura de sus edificios est\u00e9n protegidos al mismo nivel que sus propios sistemas corporativos, sean parcheados peri\u00f3dicamente y auditados con una cadencia similar a sus auditor\u00edas de ciberseguridad.<\/p>\n

Hay otros tipos de sistemas que siguen siendo de acceso p\u00fablico a pesar de razones abrumadoras para estar detr\u00e1s de otra capa de seguridad. Un ejemplo son los servidores de protocolo de escritorio remoto (RDP), algunos sin autenticaci\u00f3n multifactor, todav\u00eda son accesibles en direcciones IP p\u00fablicas.<\/p>\n

Como principio, si eludir o comprometer una pantalla de inicio de sesi\u00f3n da como resultado un acceso directo a una aplicaci\u00f3n o red corporativa, entonces deber\u00eda haber una seguridad mejorada utilizando una VPN o tecnolog\u00eda similar. En alg\u00fan momento, un ciberdelincuente encontrar\u00e1 una vulnerabilidad, dise\u00f1ar\u00e1 socialmente las credenciales de inicio de sesi\u00f3n o acceder\u00e1 por fuerza bruta al sistema. Es s\u00f3lo cuesti\u00f3n de tiempo y es algo f\u00e1cilmente evitable.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Detr\u00e1s del pulido exterior de muchos edificios modernos se encuentran sistemas obsoletos con vulnerabilidades esperando ser encontradas. 12<\/p>\n","protected":false},"author":1,"featured_media":110,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-109","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/109","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=109"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/109\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/110"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=109"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=109"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=109"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}