Seguridad

Un hacker podría atacar los sistemas de una cárcel si quisiera

hacker, carcelUn experto en seguridad ha examinado los sistemas informáticos de control de las cárceles (en Estados Unidos) y ha descubierto vulnerabilidades que podrían llevar a un hacker a abrir las puertas de toda una prisión desde su ordenador. Mediante el malware adecuado sería posible introducirse en los equipos que controlan los dispositivos electrónicos y emitir comandos a éstos mismos, así como deshabilitar las alarmas.

Los ataques informáticos a grandes organizaciones se están haciendo cada vez más populares y mediáticos desde que a finales del pasado año el colectivo Anonymous tumbara sitios como los de PayPal o Visa. En este caso se trataría de atacar los sistemas de control de una prisión.

El ingeniero y experto en seguridad John Strauchs ha llevado a cabo su propia investigación al respecto y ha terminado por concluir que esto sería posible. De hecho pretende demostrarlo en la próxima conferencia hacker DefCon la semana que vienen en Las Vegas.

Introduciendo un malware en los sistemas informáticos de las prisiones se podrían controlar las puertas de las celdas, con lo que el atacante tendría la capacidad de abrirlas todas, pudiendo también inhabilitar las alarmas. La clave está en unos dispositivos, los PLC (Programmable Logic Controller), pequeños ordenadores que pueden ser programados para controlar un amplio abanico de cosas, como el movimiento de un rotor o la apertura de puertas.

Dos modelos de PLC, fabricados por Siemens, fueron atacados por el famoso gusano Stuxnet, que se introdujo en las instalaciones nucleares de Irán. Cuando Strauchs tuvo noticia acerca de este incidente empezó a investigar sobre estos dispositivos, utilizados en muchas prisiones, comisarías y juzgados a lo largo de Estados Unidos.

Un hacker necesitaría introducir el malware en los sistemas de una prisión mediante un dispositivo USB infectado por medio de algún funcionario corrupto (esta es la suposición más fantasiosa), o bien, conseguirlo a través de un ataque de pishing dirigido contra los miembros de la plantilla del penal, ya que existen elementos internos conectados a Internet.

“Mucha gente no sabe cómo está diseñada una prisión, por eso nadie le ha prestado atención nunca”, explica Strauchs, quien ha trabajado en los sistemas electrónicos de seguridad  de más de 100 entidades de este tipo. Junto con otras tres personas compró un PLC para examinar sus vulnerabilidades y logró programar código para explotarlas. De esta manera un hacker podría tomar un control absoluto. Además de abrir y cerrar las puertas podría llegar a destruir por completo el sistema.

Sobre el autor de este artículo

Pablo G. Bejerano