Telesillas expuestos en Internet y los riesgos de la conexión sin control de dispositivos

Los aficionados al esquí españoles han disfrutado de una de las mejores temporadas que se recuerdan en los últimos años, y aún durante este puente del primero de mayo habrá unos cuantos que aprovechen para despedirse de la nieve. Por su parte, los responsables de las estaciones cierran una temporada excelente pero, ahora que se empiezan a realizar los mantenimientos pertinentes, no estaría de más revisar los sistemas que se encargan de controlar los telesillas para evitar accesos no autorizados que pudieran causar problemas graves a los esquiadores.

Paneles de control demasiado expuestos

Muchos de nosotros recordaremos las sobrecogedoras imágenes que se mostraron a mediados de marzo donde un telesilla en la estación de esquí de Gudauri, Georgia, funcionaba fuera de control y lanzaba a los esquiadores por los aires cuando no los dejaba atrapados en un amasijo de hierros.

Este incidente se atribuyó a un mal funcionamiento del telesilla y quedó como algo aislado hasta ahora. Recientemente, los investigadores de seguridad Tim Philipp Schäfers y Sebastian Neef han descubierto un panel de control de un sistema de telesillas perfectamente accesible desde Internet y que está ubicado en la estación de esquí Patscherkofelbahn, Austria.

Aunque no parece haber ninguna relación, da la casualidad de que tanto el telesilla de la estación de Georgia como el del ubicado en Austria son del mismo fabricante. Esta información ha llamado la atención de varios medios y, aunque no se disponga de pruebas, es posible que veamos hipótesis que relacionen el incidente de Georgia con un ataque en lugar de un accidente.

Tampoco resulta extraño encontrarnos paneles de control encargados de controlar dispositivos de todo tipo expuestos alegremente en Internet. Una búsqueda en Shodan, FOFA o ZoomEye puede devolvernos resultados más que interesantes si sabemos lo que buscar. El problema surge cuando estos dispositivos pueden afectar directamente a la salud o integridad de las personas.

Reportando el descubrimiento

El descubrimiento de un panel de control de este tipo no es algo que se deba tomar a la ligera, y los investigadores informaron de forma responsable al CERT austriaco para que tomasen las medidas oportunas. Una vez recibida toda la información, esta se reenvió a los contactos en Innsbruck que desconectaron el telesilla para evitar posibles incidentes y empezaron a realizar una auditoría de seguridad.

Uno de los investigadores informó en una entrevista que el panel de control web estaba accesible sin necesidad de autenticarse y a través de una conexión sin cifrar. Además, el software utilizado para gestionar los telesillas no se encontraba actualizado, algo que un atacante podría aprovechar para explotar alguna vulnerabilidad.

Por ejemplo, un atacante con acceso a este panel de control podría modificar varios parámetros críticos, como la velocidad a la que se desplaza el telesilla, la distancia entre las cestas ocupadas por los esquiadores o la tensión del cable. Una mala configuración en alguno de estos parámetros podría causar un accidente con consecuencias graves para los ocupantes.

Conclusión

Este caso es solo un ejemplo de los muchos sistemas más o menos críticos que nos podemos encontrar conectados a Internet sin ninguna o pocas medidas de seguridad implementadas. La labor realizada por este par de investigadores, descubriendo e informando de forma responsable para evitar incidentes, es algo digno de alabar y que las empresas deberían tomar en cuenta para evitar posibles incidentes.

Josep Albors