Una cerradura se encontraba en la fachada de la tienda de Joseph Bramah en Londres con un reto expuesto en el escaparate: quien pudiera forzar la cerradura de la marca Bramah Precision ganaría 200 guineas (unos 30.000 dólares de hoy en día). Ese reto se mantuvo durante 67 años, hasta que A.C. Hobbs -un cerrajero estadounidense- recogió el guante.

Hobbs aportaba una gran experiencia. Se había ganado el reconocimiento en Estados Unidos por demostrar a los directores de los bancos que sus cerraduras podían ser forzadas, por lo que debían ser sustituidas por cerraduras de su propia invención.

En la Gran Exposición celebrada en Londres en 1851, Hobbs anunció, tras forzar con éxito una cerradura Chubb "Detector", que abriría la creación de Bramah. Los hijos de Bramah pusieron a disposición de Hobbs un espacio de trabajo en su tienda. Durante 52 horas, Hobbs trabajó en la cerradura hasta que consiguió abrirla.

El éxito de Hobbs se conoció como la Gran Controversia de las Cerraduras, y provocó el temor de todos los que habían utilizado la cerradura de Bramah, incluido el Banco de Inglaterra, porque creían que no podía abrirse. Su sensación de seguridad se hizo añicos.

Desde entonces, los métodos para cerrar puertas y controlar el acceso han cambiado con los tiempos y los avances tecnológicos. Ahora, en lugar de que un controlador vigile y registre cuándo se abre y desbloquea una puerta en una instalación y luego verifique que esa persona está autorizada a hacerlo, la mayoría de las organizaciones confían en los sistemas de control de acceso. Y a menudo, estos sistemas están conectados a Internet, lo que los hace vulnerables a las intrusiones cibernéticas.

"Los sistemas de control de acceso más antiguos no estaban pensados para conectarse a la red del edificio o de la organización", afirma Coleman Wolf, CPP, CISSP, consultor de seguridad senior de Environmental Systems Design, Inc. (ESD) y miembro del Consejo de Seguridad Informática de ASIS International. "Hay adaptadores que se pueden utilizar para ponerlos en la red. Funcionan perfectamente. Puedo acceder al panel de control desde mi escritorio, pero la seguridad no siempre es la mejor".

El sistema de control de acceso "está pensado para ofrecer esta función, pero o bien el dispositivo no se construyó para tener protección por contraseña o la persona que lo instaló quería ponerlo en marcha, así que no se esforzó en implementar la seguridad en él", añade Wolf.

Lo básico

Al conectar un sistema de control de acceso a Internet, el sistema pasa a formar parte del Internet de las cosas (IoT). Los dispositivos típicos del IoT son los termostatos, los enchufes, los interruptores de la luz, los frigoríficos, los altavoces inteligentes y los timbres. Ahora también incluyen -en el ámbito de la seguridad- cámaras, sistemas de alarma, detectores de humo, cerraduras y otros dispositivos de control de acceso, dice David Feeney, CPP, PMP (Project Management Professional), y director asesor de servicios de riesgo de seguridad cibernética y física en Deloitte.

"Antes del IoT, todo lo que se conectaba a una red era un dispositivo de red en el sentido tradicional", explica Feeney, que es ex presidente del Consejo de Seguridad Física de ASIS. "Ahora, casi todo puede ser un dispositivo de red. Y mientras que el sector informático ha tenido décadas para incorporar la seguridad a sus productos, servicios y ADN en general, el IoT es esencialmente un niño pequeño, que crece rápidamente, pero con la mayor parte de su maduración aún por delante."

Todos estos dispositivos IoT se enfrentan a un "plantel de ciberamenazas", afirma Feeney, entre las que se incluyen el malware, los ataques man-in-the-middle, los ataques de fuerza bruta, los ataques de diccionario, la suplantación de IP, la denegación de servicio y los ataques de denegación de servicio distribuidos (DDoS), los secuestros de sesión, etc.

"La diferencia que aporta IoT es que la superficie de ataque -la agregación de todos los puntos a los que un atacante puede acceder- es ahora exponencialmente mayor una vez que se añaden a la red el control de acceso y otros dispositivos IoT", añade Feeney.

Podría parecer obvio por qué alguien querría comprometer un sistema de control de acceso: para desbloquear las puertas de un edificio y poder entrar.

---

“El atacante simplemente quiere acceder a la red y un sistema de control de acceso es un punto de entrada tan bueno como cualquier otro.”

---

"Lo primero que la gente piensa es que una vez que están dentro del sistema, tienen el control de este para poder desbloquear puertas o desactivar sensores, cosas que forman parte de la misión real del propio sistema de control de acceso", dice Wolf.

Por ejemplo, en el peor de los casos, en un entorno altamente controlado como el de un hospital, un sistema de control de acceso comprometido podría utilizarse para bloquear a los cirujanos fuera de un quirófano o abrir las puertas de la farmacia.

Pero hay otra razón igualmente preocupante por la que alguien podría querer piratear un sistema de control de acceso, añade Feeney.

"Lo primero que se puede pensar es que los sistemas de control de acceso se atacan porque los atacantes quieren acceder a una zona y el sistema se interpone en su camino", explica Feeney. "Esa es una de las razones. Pero la razón suele ser que el atacante simplemente quiere acceder a la red y un sistema de control de acceso es un punto de entrada tan bueno como cualquier otro".

Independientemente del método de infiltración en una organización, los atacantes suelen buscar infiltrarse en la red y luego moverse dentro de ella para acceder a información más sensible o valiosa.

Los hackers utilizaron este método durante la infame brecha de Target en 2013. Comprometieron a un proveedor de terceros, obtuvieron credenciales válidas de un usuario autorizado sin saberlo y se conectaron a la red de Target utilizando su proceso de portal de proveedores. Los atacantes aprovecharon este acceso para obtener datos de tarjetas de pago e información de identificación personal de los clientes de Target.

"Tal vez haya bases de datos de empleados donde podrían robar información", dice Wolf. "O podrían utilizar ese acceso para propagar ransomware, donde los archivos y sistemas podrían ser encriptados y mantenidos como rehenes, obligando a la organización a pagar para liberar esa información".

Aprovechar una intrusión en el sistema de control de acceso al sistema del edificio de la organización también podría suponer riesgos de seguridad para los empleados -como activar una alarma de incendios- o para los equipos.

"Si eres capaz de controlar el sistema de climatización, podrías impedir la refrigeración del espacio del centro de datos, por lo que los servidores empiezan a sobrecalentarse y a fallar", dice Wolf. "Y eso puede causar la interrupción del negocio o de las operaciones".

Mitigar el riesgo existente

A pesar de las numerosas vulnerabilidades que existen, hay innumerables maneras de mitigar el riesgo de comprometer un sistema de control de accesos.

"Trabajo con muchos clientes que no tienen ningún esquema sobre dónde están sus dispositivos; están volando a ciegas", dice Wolf. "No saben, si algo va mal, dónde ir y qué componente mirar".

---

“Lo ideal es que la seguridad sea una responsabilidad compartida entre consumidor y proveedor.”

---

El primer paso para los profesionales de la seguridad con un sistema de control de acceso que esté conectado a la red, es entender completamente el sistema: dónde están los lectores, cómo funciona, cómo está conectado a la red, quién tiene acceso al sistema y quién tiene privilegios administrativos. Después, toda esa información debe documentarse.

"Identifique dónde está todo y lo más importante, cómo se intercomunican esos dispositivos entre sí y con el mundo exterior", añade Wolf. "Una conexión a Internet es una cosa, pero con los sistemas más antiguos veremos una línea DSL o conexiones de módem telefónico a los sistemas para que un técnico pueda entrar y hacer cambios en el sistema".

Estos sistemas pueden haberse instalado hace décadas. La gente a menudo se olvida de esas conexiones, que podrían ser utilizadas por atacantes e infiltrarse en el acceso.

Wolf también recomienda a los profesionales de la seguridad que trabajen con un sistema de control de acceso conectado a la red, que evalúen si cumple los requisitos de seguridad actuales de la organización.

Empezar de cero

Para aquellos que se encuentran en la afortunada posición de instalar un nuevo sistema de control de acceso, el proceso debería comenzar con un "debate de reflexión" sobre los riesgos y beneficios de conectar ese sistema a Internet, dice Feeney.

"Si no hay una ventaja significativa para añadir una puerta a la red, no merece la pena hacerlo", explica. "En el caso del control de accesos, puede haber un argumento de peso para hacerlo, especialmente si el objetivo final deseado es pasar a la nube. En este caso, asegúrese de aprovechar las mejores soluciones que incorporar la seguridad en su nueva arquitectura de red."

La organización debe considerar si el sistema de control de acceso debe estar en una red separada de otros activos. Hacer esto ayudará a mitigar el riesgo de que un intruso utilice la red de control de acceso para obtener información corporativa.

"Si el objetivo final es trasladar su sistema de control de acceso a la nube, esta separación de la red todavía puede hacerse a nivel de la organización", dice Feeney. "La red separada de control de acceso o IoT se conectará a la infraestructura de la nube. La red corporativa original protegerá por separado todos los demás activos. Así, si la conectividad de la red de control de acceso se ve comprometida, el atacante no conseguirá acceder a la red corporativa."

Una vez tomada la decisión sobre la red en la que debe residir el sistema, la organización debe designar al responsable de esa red y de la gestión diaria de la misma. Esto es fundamental porque el sistema requerirá parches y actualizaciones periódicas para mitigar las nuevas amenazas a la seguridad.

"A menudo, el departamento de IT de una organización está mejor equipado para mantener el sistema porque -si es una buen departamento de IT- tendrá un proceso de gestión de parches para asegurarse de que los conmutadores de red y todos los servidores de red están actualizados", dice Wolf.

A la hora de comprar el sistema de control de acceso, el responsable -como el representante de seguridad física o informática- debe preguntar a los proveedores cómo se protegen los datos desde el lector hasta la consola principal, dice Darrell Brown, CISSP, director del programa de seguridad de la información de La-Z-Boy Incorporated y miembro del Consejo de Seguridad Informática.

"¿Están cifrados los datos en tránsito? ¿A qué nivel? Y ¿cuál es el nivel adecuado para mi empresa?". añade Brown.

Las empresas también deben preguntar con qué frecuencia el propio proveedor emite parches para sus productos, y cuál es el proceso de emisión de esos parches.

"Consulte proactivamente a sus proveedores sobre los parches y las actualizaciones de seguridad de su hardware", recomienda Feeney. "Muchos dispositivos de control de acceso tradicionalmente reciben parches porque los clientes solicitan una función o informan de un error que requiere el parche. En su lugar, parchee estos dispositivos como lo hace con su ordenador: de forma proactiva, como parte de una estrategia de seguridad integral."

Las organizaciones también deben contar con un sólido acuerdo marco de servicios que describa las expectativas y las responsabilidades que el proveedor tiene para con la organización.

"Hay que tener líneas claras que delimiten quién es dueño de qué parte del sistema", añade Brown. "¿Quién es el responsable? ¿Dónde está la copia de seguridad? ¿Hay una copia de seguridad? ¿Cómo garantizamos la continuidad en caso de fallo?

Y mientras se instala e implementa el sistema, los profesionales de la seguridad deben asegurarse de que el proceso sigue las mejores prácticas para mantener una buena ciber higiene. Esto comienza con la desactivación de las contraseñas por defecto para crear contraseñas fuertes y únicas para el sistema y la limitación de los privilegios administrativos.

La ESD se encuentra a menudo con sistemas operativos configurados para dar automáticamente privilegios de administrador a cualquier usuario.

"La mayoría de la gente no necesita eso y al restringirlo, te aseguras de que si un atacante consiguiera acceder usando las credenciales de una persona, no tendrá la capacidad de tener derechos administrativos sobre todo el sistema operativo", dice Wolf.

Los sistemas de control de acceso, como todas las cerraduras, pueden ser comprometidos por atacantes si se dan las circunstancias adecuadas. Los profesionales de la seguridad no deben dar por sentado que el propio sistema es seguro.

"Lo ideal es que la seguridad sea una responsabilidad compartida entre el consumidor y el proveedor", afirma Feeney. "Lo normal es que así sea. Pero la separación de responsabilidades puede ser muy diferente. Por eso, compruebe siempre su acuerdo de nivel de servicio para entender qué responsabilidades de seguridad tiene su proveedor y qué le corresponde a usted como consumidor."

 

Megan Gates es redactora de Security Management. Póngase en contacto con ella en [email protected]. Sígala en Twitter @mgngates.

David Crevillén es CEO de decysyon© a nivel mundial, especialista en seguridad corporativa y continuidad de negocio. Así mismo es Voluntario en ASIS Internacional por el capítulo 143, España. Conéctese con el en LinkedIn o en [email protected].

Read this article in English here.