Seguritecnia 387

SEGURITECNIA Junio 2012 107 guntó Miguel Rego antes de dar paso a las demostraciones. Como adelantá- bamos, dentro de la intervención de la consultora, lo más impactante fue la oportunidad que brindó de visualizar en vivo las consecuencias de ser hac- keado, a manos de Víctor Lucas, experto técnico del departamento ERS-IT de Deloitte. En el primer ejercicio, Lucas trabajó sobre un sistema de red con un switch local y una cámara IP activada, semejan- te al entorno que se podría encontrar en una joyería o en un banco. “Vamos a demostrar que el control de acceso defi- nido en la cámara no es seguro y que -a través de Internet- nos lo podemos saltar y entrar en la cámara sin problema -reveló-. Podemos hacerlo sin necesidad de saber usuario y contraseña, pero algo tendremos que conocer para adentrar- nos en la parte autenticada”. Para con- seguirlo, Víctor Lucas utilizó un buscador público de cámaras IP, routers , móviles o sistemas industriales: Shodan, capaz de identificar un dispositivo expuesto. “Los token de acceso -nada que ver con los token de los bancos, que cambian V er para creer. Como si la au- diencia se caracterizase por tener la misma fe que Santo Tomás, que necesitaba poner el dedo en la llaga para creer lo que tenía ante sus ojos, Deloitte demostró que la in- tegridad de una organización puede ser vulnerada con extrema facilidad. En primer lugar, Miguel Rego, direc- tor del Grupo de Riesgos Tecnológicos (ERS-IT) de la consultora, incidió sobre el cambio de naturaleza de las amena- zas: “Los vectores de ataque son cada vez más complejos y el nivel de sofis- ticación es más alto. Aumenta el grado de inteligencia detrás de las activida- des de ‘los malos’. Muchos se pregun- tarán qué hace Deloitte en convergen- cia”, reflexionó en voz alta. El directivo disipó las dudas al exponer la relación directa entre los departamentos de TI de las organizaciones y la auditoría fi- nanciera. “No queremos quedarnos en la consultoría sin más, tenemos voca- ción de pisar suelo y, por este motivo, impulsamos laboratorios muy técnicos, con perfiles muy hacker , como nuestro CyberSOC”. Para Rego, una realidad tangible es que los ataques al ámbito de la segu- ridad física se dirigen cada vez más a redes IP, provocando un aumento de los riesgos: “Aunque sigan existiendo cámaras analógicas, la tecnología IP va a seguir creciendo por la calidad de imagen, la capacidad de integración y la escalabilidad de estos sistemas”. En Deloitte interpretan que los riesgos de seguridad lógica no van a ser muy diferentes a los de seguridad física: “Para los sistemas de grabación será necesario establecer planes de evaluación perió- dica, realizar una configuración segura, etc. igual que sucede en los sistemas informáticos. ¿Se está haciendo?”, pre- Las redes IP, objetivo 'top' de los ataques convergentes Deloitte hizo suyo el dicho de que una imagen vale más que mil palabras y se ganó a los asistentes con dos demostraciones prácticas que revelaron de manera cristalina hasta dónde llega el límite de fragilidad de los sistemas de videovigilancia basados en redes IP y a qué riesgos se exponen quienes no adoptan prácticas de Seguridad Global. De izquierda a derecha, Víctor Lucas, Mercedes Oriol, Miguel Rego y Javier Espasa, gerente de ERS-IT de Deloitte, que colaboró durante las demostraciones. INTERVENCIÓN FIRMAS PATROCINADORAS periódicamente de contraseña- son muy débiles y predecibles”. Posteriormente, Lucas introdujo en un programa de crea- ción propia los resultados de direcciones IP obtenidas en Shodan, demostrando lo fácil que es no sólo ver qué ocurre al otro lado, sino hacerse con el control completo de la cámara. En la segunda demo, Víctor Lucas simuló un escenario en el que un ladrón deseaba robar los activos de una com- pañía. El objetivo final era suplantar la imagen grabada por otra, logran- do dejar la cámara ciega a efectos de videovigilancia. El mero acceso a un switch conecta al atacante al sistema de grabación. La imagen (un pequeño cofre de juguete) fue copiada para uti- lizarla después como foto fija. “Hemos conseguido engañar al sistema con un pequeño programa al que hemos sumi- nistrado las direcciones IP de la cámara que queríamos atacar”, comentó Lucas. En definitiva, Deloitte aboga por que la gestión del ciclo de vida de la Seguridad de los sistemas se traslade a la seguridad física, tal y como sugirió Miguel Rego en su conclusión. S