Surtidor de gasolina.

Surtidor de gasolina.

España

Un agujero de seguridad haría posible usar 189 gasolineras españolas para ataques terroristas

Peritos informáticos denuncian que los mecanismos para controlar los tanques son accesibles desde internet y hackeables sin contraseña.

19 marzo, 2018 03:07

Casi 200 gasolineras en España son vulnerables gracias a un fallo de seguridad que permite utilizarlas para un ataque terrorista. Esa es la conclusión a la que ha llegado un grupo de peritos informáticos catalán tras peinar la red y darse cuenta de que los dispositivos que controlan el nivel de los tanques, las alarmas y otros parámetros de configuración de los mismos son accesibles y manipulables a través de internet.

Según el informe elaborado en febrero por la Asociación Mediterránea de Peritos de Tecnologías de la Información y Comunicación (Aspertic), el agujero de seguridad se centra en el acceso al llamado Sistema de Control Industrial (ISC por sus siglas en inglés). Estos dispositivos sirven para controlas los tanques de las gasolineras en todo el mundo y controlan funciones como el nivel de combustible, agua, temperatura o hacer saltar las alarmas ante funcionamientos indebidos. 

Según estos peritos informáticos, que han llevado su informe al Senado de la mano de En Comú Podem, en España hay 189 gasolineras vulnerables y accesibles desde la red. A juicio de los peritos, estos dispositivos aportan "todos los datos necesarios, bien sea por negligencia o por un ataque dirigido, para provocar daños a centenares de propiedades (mezclar gasolina/agua/gasoil) vertidos de millones de litros por rebosamiento  o incluso graves explosiones en carreteras y ciudades. Solo recordar que muchas gasolineras están en cascos urbanos y un incidente con ellas comportaría la pérdida de vidas humanas", concluyen los peritos. 

Información de los tanques de una gasolinera en Madrid extraída por los peritos denunciantes.

Información de los tanques de una gasolinera en Madrid extraída por los peritos denunciantes.

Sistemas de seguridad redundantes

Para acreditar su tesis, el informe aporta la información extraída a modo de ejemplo de una gasolinera en Madrid, con la cantidad de litros que en ese momento guardaba cada uno de sus tanques. Sin embargo, fuentes del sector de los petroquímicos explican que todos esos sistemas llevan elementos redundantes  de comprobación y seguridad que hace mucho más complicado su uso malicioso de lo que se plantea en el informe. Algo que no tiene en cuenta el documento encabezado por Josep Jover, informático y abogado contratado por Esquerra Republicana para defender el proceso soberanista catalán frente a la Unión Europea.

Según explica el peritaje, "muchas válvulas tienen un puerto en serie incorporado para programación y monitorización. Algunos sistemas tienen también una tarjeta TCP/IP o incluso un adaptador de serie. Estas tarjetas permiten a los técnicos supervisar el sistema de forma remota. El puerto TCP más común utilizado en estos sistemas es el puerto 10001. Algunos de estos sistemas tienen mecanismos para estar protegidos por contraseñas, pero de las 189 gasolineras o tanques localizados en España solo uno está protegido por contraseña".

"Acceder a estos sistemas es relativamente sencillo y se realiza vía telnet", prosigue el documento. "Existen más de 600 comandos que se pueden ejecutar, algunos de los cuales incluyen el establecimiento de umbrales de alarma, la edición de configuraciones del sensor y la ejecución de pruebas de tanques". Los peritos informáticos alertan además de que los manuales para controlar estos dispositivos se encuentran también accesibles en las webs de los fabricantes para cualquiera que quiera descargarlos.

El testigo de la alerta ha sido recogido por el senador Joan Comorera, que el pasado 2 de marzo presentó una pregunta en el Senado para que el Gobierno de explicaciones sobre si fue advertido ya en 2015 de esta vulnerabilidad, como denuncia la asociación de peritos y "¿qué medidas ha tomado o va a tomar el Gobierno para investigar esta situación y evitar cualquier tipo de riesgo ante posibles ciberataques?". Algo que todavía está por responder.