Si bien es cierto que en España los hackeos y ataques a empresas están a la orden del día, de momento el país se ha librado de sufrir sus efectos en áreas muy delicadas. Un ciberataque que, por ejemplo, pudiera hacer estragos en infraestructuras clave como el tráfico podría causar un auténtico caos. Un experto en ciberseguridad acaba de revelar algo así, asegurando que sistemas como los semáforos son hackeables.

Así lo expone Andrew Lemon, investigador de seguridad perteneciente a la empresa Red Threat, también dedicada a la ciberseguridad online. Lemon ha publicado una completa investigación que revela el nivel de seguridad que sistemas de control de tráfico como los semáforos tienen. Y no tiene buenas noticias. 

Básicamente, Lemon encontró ciertas vulnerabilidades y problemas en los sistemas de control de tráfico, como los controladores de semáforos. Un ejemplo es el Intelight ATC X-1L, uno de los controladores de tráfico que el propio Lemon analizó. El investigador asegura haber encontrado una vulnerabilidad que, potencialmente, permitiría a un atacante obtener el control sobre los semáforos equipados con el X-1L.

Semáforos siendo hackeados

Todo comienza con Lemon siendo invitado a la Conferencia de la Sociedad de Transporte Inteligente de Estados Unidos. La idea era que el experto pudiera hablar sobre los sistemas de tráfico "a través de los ojos de un atacante", releva Lemon. Este consiguió acceso a un laboratorio que incluía un gabinete de tráfico totalmente funcional y un conjunto de recursos técnicos para que pudiera aprender cómo funcionan estos sistemas.

Una vez hecho, se fijó en los llamados controladores de semáforos o controladores de tráfico. Básicamente se encargan de controlar la ya famosísima secuencia de colores de los semáforos (es decir, pasar de rojo, amarillo y verde) con el objetivo de afianzar un flujo de tráfico ordenado, y así mantener la seguridad.

Controladores analizados por Lemon. Un Intelight ATC X-1L a la izquierda y un Econolite ASC/3-1000 a la derecha. Andrew Lemon Red Threat

Según Lemon, un técnico configura dicho controlador implementando la secuencia exacta que determina el tiempo que un color permanece activo en un semáforo, así como la que permite la circulación o no. Por supuesto, este no es el único componente, sino que hay más. El problema radica precisamente en este controlador; Lemon encontró un problema 15 minutos después de tener una unidad funcional.

Concretamente, Lemon se hizo con dos controladores: un Intelight ATC X-1L, un controlador obsoleto que se vende de segunda mano por apenas 150 dólares (de hecho, el investigador se hizo con él por ser literalmente de los modelos más baratos) y un Econolite ASC/3-1000. Al poco de encender el primero, descubrió una vulnerabilidad en la interfaz web del dispositivo.

Semáforo.

¿Cuál? Que sencillamente, no hay autenticación en dicha interfaz. Tal y como detalla las dos entradas de blog que Lemon ha dedicado al asunto, una vez configurada la dirección IP del controlador, el investigador descubrió que los puertos SSH, SNMP y HTTP estaban totalmente abiertos. Pudo acceder a la interfaz web a través de un navegador y se encontró con que no había autenticación alguna para acceder.

No solo eso; Lemon explica que encontrar las credenciales predeterminadas (con la seguridad web habilitada) fue tan sencillo como entrar a una pestaña de la interfaz. "Pasé el cursor sobre el botón Seguridad web y anoté la URL de la página. Habilité la seguridad de la web y actualicé la página. Recibí un mensaje de inicio de sesión, e inicié sesión con las credenciales".

El desconcierto llega a nuevos niveles cuando Lemon denuncia que tan solo tuvo que abrir una nueva pestaña de navegador en modo privado y navegar a la URL de la pestaña de Seguridad web. "Para mi sorpresa, pude acceder sin autenticación. Verifiqué para asegurarme de que estaba en un navegador privado, seguramente me perdí algo. Navegué hasta la IP base y se me solicitó la autenticación. Pegué la URL de la página y una vez más, volví a entrar sin autenticación", relata Lemon.

El absurdo era tal que incluso el experto llegó a pensar que esto no era posible, que era una casualidad o que sencillamente no estaba haciendo algo bien. Tras comprobar que efectivamente no era así, Lemon llegó a una terrible conclusión: si un atacante se salta el sistema de autenticación, puede tener acceso total al controlador del semáforo en sí.

Semáforo en rojo Seat

Y los cambios pueden ser sencillos, pero terribles. En palabras de Lemon, un atacante "puede aumentar la duración de una fase específica, cargar su propia configuración o poner la intersección en modo intermitente de 4 vías". Es decir, que un hacker que descubriese esta vulnerabilidad podría atacar cualquier semáforo equipado con un controlador de ese modelo o que comparta su vulnerabilidad.

Represalias legales

En un acto de responsabilidad, el integrante de Red Threat decidió compartir sus hallazgos con su círculo cercano y sobre todo, con el proveedor de los dispositivos Intelight, Q-Free. Cabe destacar que Intelight, de hecho, es una marca de Q-Free y que el X-1L es un controlador bastante antiguo; de ahí que sea tan fácil comprarlo por segunda mano.

Semaforo en rojo

Lemon contactó con Q-Free mediante un formulario específicamente diseñado para avisar de vulnerabilidades descubiertas, y tras más de una semana, recibió una respuesta que desde luego no esperaba por parte del equipo de ingeniería de Q-Free. La misiva se defendía asegurando que el producto ya estaba al final de su vida útil, y afirmaban que el descubrimiento de Lemon no cumplía con "los criterios de divulgación responsable" de la empresa.

En base a esta política de divulgación, Q-Free exige el cumplimiento de "varias condiciones antes de considerar informes de vulnerabilidad no solicitados"; una de ellas implica relacionarse con partes que han obtenido productos con el permiso de la firma, por ejemplo. Además, solo aceptan informes con productos que están a la venta actualmente.

Así, Q-Free en la misiva se negó a aceptar el informe de vulnerabilidad de Lemon e incluso amenazó legalmente a Red Threat, argumentando que no incluyeron información relacionada sobre el método que usó la compañía para acceder al Intelight X-1L. Por último, Q-Free también amenazó con tomar medidas legales si Red Threat publicaba información sobre la vulnerabilidad.

Actualmente, no se sabe cuántos dispositivos Intelight son vulnerables y sobre todo cuántos de los afectados son accesibles desde Internet. Tanto Lemon como su equipo afirmaron haber encontrado alrededor de 30 dispositivos expuestos. El experto, además, también encontró problemas en controladores Econolite expuestos debido a un protocolo NTCIP vulnerable.