Ciberseguridad de los sistemas de seguridad físicos, un flanco abierto

LA TECNOLOGÍA ACTUAL

Los sistemas de Seguridad están compuestos por el conjunto de dispositivos, infraestructuras y aplicaciones que permiten gestionar información relativa a la Seguridad, detectar incidentes, analizarlos, tomar decisiones y actuar en consecuencia. Esto incluye desde el visionado de una cámara a la identificación de una tarjeta y la consecuente apertura de una puerta, pasando por detección de intrusos y muchas otras funciones fundamentales para la Seguridad de cualquier instalación.

Los Sistemas de Seguridad de una cierta dimensión están gobernados por lo que se pueden denominar “Centros de Control de Seguridad” (CCS).

Antiguamente (hace algunas decenas de años), estos CCS recibían y enviaban información a elementos distribuidos: cámaras de CCTV, controladores de lectoras de control de accesos, centrales de detección de intrusión y alarma, a través de medios diversos (primeros dos niveles OSI: las capas físicas y de enlace), con cableados RG11 o RG59 de las cámaras, buses diversos (a veces propietarios) de control de accesos e intrusión, etc.

Reubicar un CCS era un drama técnico, fundamentalmente por la complejidad que implicaba desplazar/empalmar físicamente los cableados que llegaban hasta la antigua ubicación.

Además, las aplicaciones de control de estos subsistemas apenas empezaban a permitir interacción entre ellos (alarmas que conmutan cámaras, por ejemplo).

Actualmente la capacidad y alcance de los CCS es muy superior, siendo muy parecidos a los Sistemas de Control Industriales:

• Se basan en redes IP de datos, por lo que la arquitectura de los sistemas ha cambiado drásticamente.
• Las aplicaciones de control suelen estar superpuestas a Sistemas Operativos estándares: Windows Server, Linux, Unix, etc.
• Utilizan Bases de datos estándares: Oracle, SQL, …
• Tienen comunicaciones con el exterior, para telemantenimiento, para compartir operadores remotos, para importar datos de altas y bajas de personal, etc.
• Siguen una estructura de servidor-cliente
• Son multi-dispositivo y pueden operarse desde navegadores

AMENAZAS

En definitiva, los CCS son unos Sistemas de Control convencionales desde un punto de vista técnico, pero su función principal es la protección física de los activos y las personas mediante los subsistemas que gobierna.

Las amenazas que afectan a la disponibilidad del Sistema presentan consecuencias muy graves, como, por ejemplo:

• Seguridad totalmente inoperativa
• No se detectan incendios o intrusiones
• No hay imágenes de TV
• Caos en los accesos de un edificio en la hora punta.

Las correspondientes a la integridad no son menores:

• Borrado de imágenes grabadas
• Generación de tarjetas de control de acceso a personas ajenas
• Desconexión de alarmas a determinadas horas
• Indisponibilidad de la información relativa a las actuaciones del equipo de Seguridad (vigilantes, operadores), sobre el propio sistema de Seguridad

Finalmente, la confidencialidad, teniendo en cuenta que en los CCS se almacenan imágenes grabadas, datos de personal y de visitas, etc., también es una consecuencia muy grave en caso de que las amenazas consigan su objetivo:

• Conocimiento por parte de terceros del sistema de Seguridad
• Acceso a imágenes o información a personas que no deben conocerlas
• Incumplimiento de obligaciones relativas a protección de datos de carácter personal
• Otros incumplimientos

Lógicamente las amenazas son externas e internas.

• Amenazas Externas, porque la conectividad exterior descrita permite “puertas” por las que acceder al Sistema desde el exterior.
• Amenazas internas, no sólo de operadores (vigilantes u operadores del Sistema) sino también porque en muchos casos la misma red de datos que comunican las cámaras de TV, las interfaces y centrales de detección de incendios e intrusión, etc., es la misma que la red corporativa por la que circulan los correos electrónicos, y diversas aplicaciones de la empresa.

SITUACIÓN ACTUAL

En España hay algún millar de CCS.

Algunos de tamaño muy reducido, con decenas de cámaras de TV, algunas lectoras, y decenas de detectores de intrusión.

Otros llegan a controlar centenares de cámaras de TV (o millares como en aeropuertos, por ejemplo), centenares de lectoras de control de accesos y millares de detectores de incendio y de intrusión, amén de centenares de interfonos, etc.

Finalmente, se deben considerar también las Centrales Receptoras de Alarmas, con decenas y a veces centenares de miles de conexiones, mediante redes dedicadas o utilizando internet directamente.

Desde nuestra experiencia en Auditorías a CCS, aunque no pueda asumirse la muestra como totalmente representativa, el panorama es muy preocupante. Como ejemplos frecuentes, podrían citarse:

• No suele haber una política de contraseñas establecida para los operadores de Seguridad, los mantenedores de los equipos o los responsables de Seguridad que acceden a la información.
• No se mantienen, para los equipos informáticos de los sistemas de Seguridad, los criterios estandarizados a nivel corporativo para cualquier equipo conectado a la Intranet: sistemas operativos, antivirus, parches, actualizaciones, etc.
• No se realizan auditorías internas o externas de Seguridad de la información sobre los sistemas de Seguridad
• No existen criterios de Seguridad de la información a la hora de acordar servicios con terceros, SLAs o al seleccionar a proveedores de servicios.

CONCLUSIONES

• Las amenazas han cambiado en todos los ámbitos, también el de los CCS.
• Si antes proteger un CCS consistía en blindajes, esclusas y sistemas de control de acceso físico, ahora esas medidas no tienen nada que ver con las amenazas reales, cuyos actos pueden incluso pasar desapercibidos.
• Es urgente auditar los CCS, analizar sus riesgos de Ciberseguridad y estudiar el gap entre las medidas existentes y las necesarias.
• Pero, sobre todo, una vez más, es fundamental abrir los ojos de los responsables de Seguridad Física al nuevo escenario.
• Estas amenazas han llegado para quedarse… y para evolucionar a peor.
• Los ciberriesgos de los Sistemas de Seguridad Físicos son un flanco abierto.

Artículo publicado en la revista ‘Securitecnia’, número 456 (octubre de 2018).