A medida que el mundo está cada vez más conectado ‘Intet de las Cosas’, Trend Micro, con el fin de velar la seguridad del intercambio de información digital, continúa buscando tecnologías que podrían ser explotadas y utilizadas indebidamente los atacantes en un futuro cercano.
En sus investigaciones, la compañía ha descubierto serias vulnerabilidades en los Sistemas de Identificación Automática (AIS) de barcos. Estos sistemas son de uso obligatorio para todos los barcos comerciales (no pesqueros) de más de 300 toneladas métricas, así como para los buques de pasajeros (independientemente de su tamaño y peso). Actualmente, unos 400.000 buques cuentan con este sistema instalado en todo el mundo.
En el documento adjunto, además de la explicación de la investigación que concluye que AIS es un sistema muy vulnerable a la mayoría de ataques cibernéticos, de piratas y terroristas, se incluyen vídeos en los que el personal de Trend Micro realiza demostraciones reales de cómo manipular estos sistemas que, entre otras muchas cosas pueden permitir:
Modificar las coordenadas de posición de un buque y colocarlo, ejemplo, en medio de Nueva York. Esta información sería tomada como válida el resto de barcos y las autoridades marítas
Crear naves falsas: ejemplo, crear un buque iraní que transta un cargamento nuclear y colocarlo para que aparezca en la costa de Estados Unidos
Creación y modificación de las aeronaves de búsqueda y salvamento maríto
Crear y modificar entradas de soluciones de Ayuda a la Navegación (AToN), como boyas y faros
Etiquetar un área geográfica determinada. Por ejemplo, tan pronto como un barco entre en el espacio maríto de Somalia desaparece del radar AIS, pero los piratas que tengan intención de secuestrar dicho barco y llevar a cabo el ataque, sí podrán ver la nave
Fingir una baliza de emergencia de tipo ‘hombre al agua’
Sular una alerta CPA (Punto de Aproxación más Cercano) y desencadenar una alerta de advertencia de colisión entre buques
Todos estos ataques, se han realizado en el laboratorio de pruebas de Trend Micro. Para estas pruebas, han utilizado equipamiento específico de radio definido software, y los investigadores han demostrado también que se pueden perpetrar este tipo de ataques utilizando un estándar modificado, fácil de obtener radio VHF y cuyo coste oscila entre los 150 y 200 dólares.
Otros sistemas, también afectados
AIS es sólo un ejemplo de un sistema crítico basado en radio que fue diseñado en un mundo antes de Intet, o de Radio Definida Software. El problema va más allá del tráfico maríto. Otros sistemas como ADSB (utilizado los aviones), o los sistemas de comunicación para vehículos que pronto estarán en el mercado, comparten algunas de las mismas litaciones y vulnerabilidades.
Trend Micro cuenta con tavoces disponibles para ampliar ésta información.
