Tecnología Info Tecnología

Sistemas HVAC: otro eslabón a proteger en la cadena de ciberseguridad

Amador Ortega, director del área de Ciberseguridad de Integración Tecnológica Empresarial (ITE)17/10/2023
512
En una era marcada por los crecientes avances tecnológicos, la integración de dispositivos inteligentes y conectados en nuestra vida cotidiana se ha vuelto omnipresente. Sin embargo, esto genera nuevas preocupaciones relacionadas con la ciberseguridad, pues la superficie de ataque se amplía incluso a los sistemas esenciales. Entre estos sistemas críticos, los sistemas HVAC son uno de los nuevos objetivos de los ciberataques.
Imagen
Cualquier negocio, a día de hoy, depende de las TI y la digitalización de sus operaciones, pero la evolución de la tecnología y el ritmo al que cambian las industrias deben estar sincronizados, cosa que no suele suceder. El objetivo principal de impulsar el crecimiento empresarial y la transformación digital de una organización exige mitigar los riesgos, pues la seguridad de la organización, los datos, el cumplimiento normativo y los activos propios y de los clientes están en juego. Obviamente son muchos los aspectos a tener en cuenta, pero centrémonos en la ciberseguridad.

En la era de la interconexión de dispositivos y sistemas, la ciberseguridad se ha convertido en una cuestión de base, y aplicarla a los sistemas de calefacción, ventilación y aire acondicionado (HVAC) no debe ser una excepción. Estos sistemas se instalan en los edificios inteligentes y, gracias al desarrollo tecnológico y al Internet de las Cosas (IoT) consiguen interconectarlo todo y que en todo momento se tenga información de la situación.

Se controlan las unidades de climatización para mantener en las edificaciones una temperatura siempre óptima y en tiempo real. Todo posible gracias al uso de sensores y a la monitorización continua que permiten al sistema llevar un control exacto y preciso de la temperatura, humedad y otros valores ambientales en el edificio inteligente.

Una protección correcta de los sistemas HVAC es clave para garantizar el funcionamiento ininterrumpido, la privacidad de estos sistemas y, por qué no, el futuro del negocio, puesto que los sistemas HVAC de una empresa que se encuentren conectados a una red pueden ser otro potencial punto de entrada para los ciberatacantes, que buscan hacerse en algunos casos con información valiosa.

Dado que dependemos en gran medida de los sistemas HVAC para nuestro confort, seguridad y eficiencia, su protección nunca ha sido más crítica en tanto que son vulnerables a los ciberataques. Pero esto no es algo nuevo, pues hace ya diez años del ciberataque que puso en jaque a la cadena americana de tiendas Target.

En este caso, los hackers accedieron a los servidores de la empresa encargada de proveer los sistemas de aire acondicionado de varias tiendas, llegando más tarde a infiltrarse donde se albergaba la información personal de clientes. Este ciberataque le terminó costando a Target 162 millones de dólares en gastos, mientras que para las entidades bancarias supuso unas pérdidas de alrededor de 200 millones de dólares por la reemisión de más de 20 millones de tarjetas de crédito.
Imagen

Sistemas conectados = sistemas más expuestos

Los sistemas HVAC modernos o inteligentes suelen estar interconectados y controlados mediante sistemas de automatización y gestión, a menudo a través de redes informáticas. Esto les hace susceptibles a las mismas ciberamenazas a las que se enfrentan otros dispositivos y sistemas conectados a Internet.

En el contexto de los sistemas HVAC, los ciberataques involucran la explotación de vulnerabilidades en los componentes en red de estos sistemas. Los atacantes pueden infiltrarse en ellos recurriendo a diversos métodos. Una vez que han conseguido acceso, pueden manipular los ajustes de temperatura, interrumpir las operaciones normales o acceder de manera no autorizada a otros sistemas de la compañía víctima y robar información confidencial. Las consecuencias de esto solo pueden ser desastrosas.

Son varias las razones por las que los sistemas HVAC se están convirtiendo en blanco de los ciberdelincuentes, algunas de ellas guardan relación con los siguientes factores:

Conectividad: muchos sistemas HVAC modernos están equipados con tecnología IoT (Internet de las Cosas) y están conectados a Internet o a redes corporativas para permitir la monitorización y el control remotos. Esta conectividad los hace susceptibles a los ciberataques.

Vulnerabilidades: como cualquier otra tecnología, los sistemas HVAC pueden tener vulnerabilidades en su software o hardware que pueden ser explotadas por los atacantes. Estas vulnerabilidades no siempre pueden ser parcheadas o actualizadas inmediatamente por el fabricante, dejando los sistemas expuestos a posibles ataques. Además, a medida que los ataques se vuelven más sofisticados, buscan constantemente nuevas vulnerabilidades que explotar.

Falta de medidas de seguridad: tradicionalmente estos sistemas se diseñaban centrándose principalmente en la funcionalidad y la eficiencia, y no en la seguridad. Esto significa que pueden carecer de medidas de seguridad esenciales como el cifrado, la autenticación segura y los sistemas de detección de intrusiones. Por otro lado, podemos encontrarnos con el caso de instalaciones cuyos equipos sean anticuados, lo que dificulta la aplicación de seguridad. Reemplazar equipos obsoletos puede ser costoso, pero más costoso será sufrir un ciberataque en términos económicos y de sanciones, así como en términos de reputación.

Falta de segmentación: en algunos casos, los sistemas HVAC están interconectados con otras infraestructuras o redes críticas, y si estos sistemas no están debidamente segmentados, una brecha en el sistema HVAC puede convertirse en un trampolín para que los atacantes accedan a áreas más sensibles de la red.

Acceso remoto: el acceso remoto a los sistemas HVAC es esencial para su mantenimiento y supervisión. Sin embargo, si estos puntos de acceso remoto no están adecuadamente protegidos, pueden ser explotados por los atacantes como puntos de entrada a la red.

Configuración incorrecta: una configuración errónea o débil puede dejar a los sistemas de HVAC vulnerables a ataques.

Ataques más frecuentes

Pero pasando a un nivel más específico, a la hora de hablar de los tipos de ciberataques a los que se exponen los sistemas HVAC, conviene señalar que, como ocurre en otros ámbitos, las amenazas han evolucionado y se han sofisticado. Por ello, entender los distintos tipos de ciberataques que pueden ponerlos en peligro es clave a la hora de diseñar una estrategia de ciberseguridad y defensa eficaz.

Entre los tipos de ciberataques más frecuentes en los sistemas HVAC se encuentran:

Amenazas internas y accesos no autorizados: los sistemas HVAC a menudo se pasan por alto en términos de ciberseguridad, lo que significa que amenazas internas pueden llegan desde empleados o terceros con acceso a estos sistemas, que podrían explotarlas como un punto de entrada para comprometer la red más amplia, o ponerlos en peligro de forma consciente o inconscientemente. De ahí que supervisar y gestionar cuidadosamente el acceso interno sea primordial.

Vulnerabilidades de IoT: a medida que los sistemas HVAC se interconectan más a través del IoT, se vuelven más susceptibles a los ataques dirigidos a la seguridad débil de los dispositivos IoT.

Ataques a la cadena de suministro: los atacantes pueden poner en peligro los sistemas HVAC como parte de un ataque más amplio a la cadena de suministro, con el objetivo de infiltrarse en la red de una organización a través de dispositivos aparentemente inocuos. De este modo pueden servirse de ellos como punto de entrada a la red del cliente.

Fallos en la autenticación y autorización: si los sistemas de HVAC no cuentan con medidas sólidas de autenticación y autorización, los atacantes pueden obtener acceso no autorizado.

Inyección de comandos: los atacantes pueden intentar inyectar comandos maliciosos en los sistemas de control de HVAC para manipular su comportamiento.

Imagen

Ciberseguridad en fase de diseño: prioridad absoluta

La seguridad por diseño es un enfoque fundamental en la protección de sistemas y aplicaciones digitales. Se refiere a la incorporación de medidas de seguridad desde la fase inicial de diseño y desarrollo de cualquier producto, sistema o servicio digital en lugar de aplicar la seguridad a posteriori. Y en los sistemas HVAC también habría que utilizar este enfoque.

De este modo, se garantiza que los sistemas y servicios digitales sean más seguros y resistentes a las ciberamenazas desde su concepción, pues se minimizan los riesgos, se ahorran costes y se protegen datos sensibles, contribuyendo así a la confianza del usuario y al éxito a largo plazo de una organización en un entorno digital cada vez más peligroso.

Para evitar que los sistemas HVAC se conviertan en puntos de entrada de ciberataques, las organizaciones deben dar prioridad a la ciberseguridad por diseño de estos sistemas, así como aplicar medidas de protección robustas, actualizaciones periódicas, segmentación de la red y formación de los empleados. Además, es importante llevar a cabo evaluaciones de seguridad y pruebas de penetración para identificar y abordar las vulnerabilidades de los sistemas, conocer las ciberamenazas y reforzar las defensas.

No debemos olvidar que recuperarse de un ciberataque puede ser muy costoso, por tanto, se requieren los esfuerzos de todo el ecosistema para hacer realidad unos entornos inteligentes seguros. En otras palabras, es importante que cada usuario, integrador y fabricante “haga software y hardware seguro“y, por tanto, ”mantenga el software y hardware seguro”.

Recordemos que ya se han producido ciberataques relacionados con sistemas HVAC. Tal y como apuntaba con anterioridad, el origen de la filtración de datos de Target fue un proveedor de sistemas HVAC. Del mismo modo, investigadores de seguridad hackearon la red de Google Australia utilizando un sistema HVAC. De ahí que en un mundo cada vez más interconectado, salvaguardar los sistemas de climatización de los ciberataques sea esencial.

“Los sistemas HVAC de una empresa que se encuentren conectados a una red pueden ser un potencial punto de entrada para los ciberatacantes”

“Tradicionalmente los sistemas HVAC se diseñaban centrándose en la funcionalidad y la eficiencia, por lo que carecen de medidas de seguridad esenciales como el cifrado, la autenticación segura y los sistemas de detección de intrusiones”

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos