CIBERSEGURIDAD
Ciberseguridad en los sistemas de Control de Acceso. Vulnerabilidades en la comunicación y cómo resolverlas
En el marco del Encuentro Tecnológico ALAS en Buenos Aires, Juan Alonso, Regional Sales Manager, South Cone, HID brindó una conferencia sobre cómo los sistemas de control de accesos se vulneran o se blindan ante la ciberdelincuencia.
RevistaInnovacion.com
Nos entrevistamos con Juan Alonso, Regional Sales Manager, South Cone, HID para ampliar acerca de los desafíos cibernéticos que enfrentan los Sistemas de Control de Accesos; los riesgos que corren los sistemas más antiguos, las innovaciones que brindan protección y cómo desarrollar una estrategia que permita abordar estos desafíos de manera eficaz protegiendo de las amenazas físicas y cibernéticas, cada vez más entrelazadas.
Considerando que la ciberseguridad y la Seguridad física para el control de accesos, son históricamente dos disciplinas diferentes ¿cuáles son los principales desafíos que se enfrentan en la integración de ambos?
Los principales riesgos que enfrentan según mi opinión son:
- Desconocimiento del mercado latinoamericano de la ciberseguridad a gran escala y la necesidad de estas en los diferentes elementos para poder tener realmente ambientes seguros desde la entrada de las oficinas, hasta los equipos conectados en las redes de estas.
- Muchos de los ataques cibernéticos van ligados a fallas de la seguridad física, también a un descontento por parte de los funcionarios o prestadores de servicios de las entidades debido a sus situaciones laborales y también las situaciones del país. A esto le podríamos decir colaboradores malitencionados que se alían con ciberdelincuentes para perjudicar a la entidad.
- La fuerte resistencia de las entidades a actualizar sus sistemas tanto físicos como cibernéticos debido a los costos que pueden presentar; así como el temor a las nuevas tecnologías.
La falta de expertos en estas áreas asesorando como ethical hackers o hackers de sombrero blanco, de manera continua a los actores del mercado, mientras que sí hay un gran aumento de la personas queriendo saber cómo poder hacer estos tipos de ataques de manera ilegal, debido al aumento de la información o desinformación de estos temas.
A gran escala encontramos Compañías que realizan inversiones millonarias, como por ejemplo Microsoft como recompensa por bugs encontrados en sus plataformas, o Google que ha pagado también varios millones de dólares desde el año 2010 en su programa de “bug bounties”.
Los incidentes de seguridad que involucran video y cámaras de seguridad siempre reciben mucha atención en los medios. Sin embargo, las soluciones de control de acceso también pueden ser explotadas por agentes maliciosos y, dependiendo de la situación, quizás incluso más fácilmente que las cámaras, ya que los empleados llevan sus credenciales de acceso a casa y a todos lados. ¿Cuáles son los riesgos cibernéticos relacionados con este tipo de solución?
En la pregunta se establece un primer punto que es el uso de las credenciales de acceso por fuera de las oficinas y la siempre visibilidad de estas por parte de los funcionarios de una entidad por el uso de los famosos portas gafetes.
En este tipo de escenarios las personas son propensas a sufrir ataques de clonación debido a la gran cantidad de clonadores que tenemos hoy día en el mercado de corta y/o larga distancia, que se centran en las tecnologías que son usadas por la mayoría de las instituciones. Si hablamos de una manera muy puntal, el uso de tecnología de 125 KHZ como es PROX, INDALA y EM, como así mismo el uso de los datos públicos en tecnologías de 13,56 MHZ como MIFARE, DESFIRE basas en el protocolo ISO14443A.
Hay clonadores más sencillos y otros más sofisticados. Hay “servicios de clonación on line”… y hasta kioscos de “clone su propia tarjeta”.
En este video una persona hace una clonación a distancia mediante un dispositivo bluetooth. La víctima ni se entera que están clonando los datos de su tarjeta.
Si hablamos de tecnología MIFARE, ya ni siquiera el uso de llaves de criptografía DES bajo esta tecnología realmente garantiza seguridad, debido a que los clonadores por medio de un ataque de fuerza bruta pueden bombardear con librerías de llaves, hasta conseguir quebrar la contraseña pudiendo ingresar a los bloques y sectores de la tarjeta y generando copias de toda la información que reside en ellas.
Ha habido casos de varios sistemas de transporte público que han tenido que actualizar a tecnología más nueva debido a este tipo de ataques en donde las personas conseguían comprar saldo para el uso del transporte en el mercado negro a un precio más económico. Un caso de esto muy conocido fue Transmilenio en Bogotá alrededor del año 2013.
Obviamente que ya existen en el mercado tecnologías que aún no han podido ser clonadas debido al uso de OTP en tarjetas físicas, y el uso de llaves AES de 128 bits para la criptografía.
Considerando que muchos sistemas de control de acceso físico en uso hoy en día se basan en tecnologías de más de 40 años, expuestas a vulnerabilidades conocidas desde hace décadas, ¿podría informarnos sobre las nuevas tecnologías y tendencias que se están adoptando para reforzar la seguridad cibernética de estos sistemas? ¿Cuáles son las innovaciones que prometen mitigar los riesgos asociados al uso de tecnologías tan antiguas?
Como mencionaba anteriormente el salto tecnológico en tarjetas de control de acceso se dio en los últimos años al incorporar un microprocesador; un software en lugar del chip (hardware) generando un OTP en tarjetas físicas. Y el uso de llaves AES de 128 bits para la criptografía lo que permite una comunicación segura entre credenciales y lectores
Este mismo concepto se ha aplicado al uso de credenciales virtuales y lo que se hace en ambientes sandbox es intentar quebrar la seguridad de esta APP, hasta permitiendo eliminar la credencial del dispositivo o no entregarla en el momento que se desea carnetizar un usuario virtualmente.
Si nos pasamos al mundo de las comunicaciones entre lectores y controladores, hay otra tecnología que ya hace tiempo tiene un enemigo muy puntual la cual es wiegand con los sniffers que nos permiten realizar ataques de man in the middle en donde implantamos uno de estos en los mismos cables de comunicación cascada arriba con los controladores y permitiéndonos replicar la información de las credenciales que han sido presentadas en el lector que se asumen están dadas de alta en el sistema de control de acceso y realizar una validación sin que realmente se presente un evento de vulnerabilidad en el sistema.
Lo que vemos en el video es una interrupción en la comunicación. Se puede hacer dentro del lector o en el cableado que lo conecta con el controlador. Se coloca el sniffer que es un dispositivo para conseguir los datos que viajan desde el lector y luego por bluetooth se obtiene toda la información que haya existido en el período de tiempo que ese dispositivo estuvo conectado.
Con esa información los hackers pueden realizar ingresos no autorizados con fines variados, o bien vender esa base de datos o hasta extorsionar a las empresas a cambio de toda esa información “robada”.
Aquí entra en juego la comunicación OSDP sobre todo su versión v2, la cual nos permite encriptar con AES de 128 bits los datos que viajan por los cables de la instalación, así mismo al tener una comunicación bidireccional entre los dispositivos conectados en el BUS de OSDP, en caso de que se presente la intervención del lector o de los mismos cables del sistema, el controlador podría llegar a reconocer la conexión de un equipo extraño dentro de estas y notificarlo al usuario. Todo aconteciendo por los mismos dos cables de comunicación que era usado antiguamente en wiegand.
Sabiendo que, tanto en la seguridad física como en la cibernética, el enfoque de defensa en profundidad con múltiples capas de protección es fundamental, ¿Cuáles considera que son los tres pilares fundamentales para el desarrollo de una estrategia integrada de seguridad física y cibernética? ¿Cómo se complementan estos elementos para fortalecer la seguridad general de las organizaciones?
Desarrollar una estrategia integrada de seguridad física y cibernética requiere abordar varios aspectos
Desde mi punto de vista los tres pilares para lograr eso son:
1. Gestión de riesgos integrada: La gestión de riesgos debe abordar tanto las amenazas físicas como cibernéticas de manera integral. Esto implica identificar y evaluar los riesgos asociados con los activos físicos y digitales de la organización, así como las posibles interacciones entre ellos. La integración de la gestión de riesgos físicos y cibernéticos permite a las organizaciones tomar decisiones informadas sobre la asignación de recursos para mitigar los riesgos más críticos y prioritarios.
2. Tecnología interoperable: Implementar tecnologías que permitan la interoperabilidad entre los sistemas de seguridad física y cibernética es esencial para una estrategia integrada. Esto implica utilizar plataformas y herramientas que puedan compartir información y responder de manera coordinada a las amenazas. Por ejemplo, integrar sistemas de control de acceso con soluciones de análisis de datos cibernéticos puede ayudar a detectar patrones de comportamiento sospechosos tanto en el mundo físico como en el digital
3. Cultura de seguridad integral: Fomentar una cultura de seguridad integral en toda la organización es fundamental para el éxito de una estrategia integrada. Esto implica educar y capacitar a los empleados sobre las mejores prácticas de seguridad física y cibernética, así como fomentar la colaboración y la comunicación entre los equipos de seguridad. Una cultura de seguridad sólida promueve la conciencia de los riesgos, la responsabilidad compartida y la respuesta efectiva ante incidentes
En conjunto, estos elementos trabajan para mejorar la resiliencia y la capacidad de respuesta de las organizaciones frente a las crecientes amenazas tanto físicas como cibernéticas en el entorno actual.
En resumen, la integración de la seguridad física con la cibernética presenta una serie de desafíos, desde la comunicación entre diferentes disciplinas hasta la gestión de la complejidad y los riesgos éticos. Sin embargo, abordar estos desafíos es fundamental para proteger eficazmente a las organizaciones contra las amenazas tanto físicas como cibernéticas en el mundo actual cada vez más interconectado.