Semáforos en EU, blanco fácil de hackers
Los semáforos en todo Estados Unidos son fáciles de manipular, pues están peligrosamente expuestos al hackeo.
Cualquier persona con una radio conectada a un ordenador portátil puede causar estragos al cambiar las luces a voluntad de forma remota o apagarlas por completo. Así lo descubrieron los investigadores de informática de la Universidad de Michigan.
“Existe la creencia de que estos dispositivos son seguros. Todos confiamos tanto en ellos”, dijo Branden Ghena, estudiante de doctorado de ciencias informáticas en esa universidad y principal investigador del estudio.
“Esta es infraestructura crucial. Nos quedamos impactados por lo que estaba pasando”.
En mayo, bajo la atenta mirada de los funcionarios locales de transporte, los investigadores de Michigan ensayaron sobre el terreno el hackeo en cierta ciudad de Michigan, cambiando las luces de los semáforos con un ordenador portátil desde su camioneta.
Las luces y los controladores son manufacturados por Econolite, uno de los mayores fabricantes de señales, cámaras y sistemas de control de tráfico en Norteamérica.
La compañía no respondió a solicitudes de comentarios.
Como la mayoría de las modernas señales de tráfico, los semáforos de Econolite operan en una red informática. Se comunican entre sí al igual que nuestra red Wi-Fi doméstica, mediante señales de radio.
Pero sus controladores, que se encuentran dentro de las cajas metálicas en cada crucero, funcionan como un router no seguro, es decir, rara vez están cifrados y casi todos ellos utilizan el mismo nombre de usuario y contraseña por defecto, que vienen publicados en manuales en línea.
Los semáforos de Econolite se utilizan en 100,000 cruceros o intersecciones estadounidenses y canadienses, aunque no está claro si todos esos sistemas son susceptibles al hackeo.
El problema no se limita a Econolite; el estándar de comunicaciones para las luces de tráfico de Estados Unidos, llamado "NTCIP 1202," está presente en todos los sistemas modernos de señales.
Todos ellos pueden ser hackeados o intervenidos si las ciudades no cambian su configuración predeterminada.
Los investigadores dijeron que las luces pueden defenderse del hackeo con poco esfuerzo: sólo hay que proteger la red. Las ciudades que instalan los sistemas de control de tráfico pueden habilitar el cifrado y establecer contraseñas para sus redes. Las dos opciones están disponibles en los sistemas Econolite.
Es tan simple como clicar en un recuadro en la pantalla del dispositivo.
Pero aunque el remedio sea sencillo, es posible que no se aplique en el corto plazo. Los gobiernos locales tiene poco presupuesto y es difícil convencerlos de que deben actualizar manualmente cada controlador de semáforo, advirtió Adam Pridgen, consultor de seguridad en Praetorian.
Pero hay un problema más profundo. El software estándar utilizado por Econolite y por muchos otros no restringe quién puede enviar comandos a los semáforos. Si los hackers irrumpen en la red, pueden enviar comandos a los semáforos sin ningún problema.
¿La solución? Ese estándar debe ser actualizado para limitar los dispositivos autorizados y solicitar credenciales adicionales, dijeron los investigadores.
Para Charles Tendell, fundador de Azorian Cyber Security, es hora de que comencemos a ver los semáforos como computadoras, y tratarlos como tales.
Las ciudades que buscan ahorrar dinero instalando sistemas automatizados más inteligentes no deben asumir que ese equipo es seguro.
“No deberías instalar este tipo de sistema sin una auditoría de seguridad”, recomendó Tendell.
El dinero que una ciudad ahorra por actualizar sus semáforos a un sistema en red más eficiente podría evaporarse si un hacker los apaga todos con sólo accionar un interruptor.