Graves fallos de seguridad en sistemas de RENFE y Metro

Graves fallos de seguridad en sistemas de RENFE y Metro

Adrián Crespo

Cada día que pasa podemos ver cosas más que asombrosas, pero lo que se ha podido ver en el Defcon de Las Vegas supera lo asombroso.

Durante el último día de conferencias hemos podido ver a un investigador español, Alberto García Illera, que ha demostrado la forma en la que se puede acceder al sistema de control de transportes RENFE y Metro utilizando un terminal de los que se puede encontrar en cualquier estación y que el usuario puede utilizar para comprar billetes.

García Illera ha demostrado las acciones que se pueden llevar a cabo gracias a los graves fallos de seguridad que posee el sistema.

Desde obtener abonos de metro con descuentos de personas de la tercera edad, hasta poder acceder a las cámaras de seguridad de las estaciones pasando por la lista de tarjetas de crédito que han sido utilizadas por las personas para realizar la compra de billetes en los terminales. Estos sólo son algunos de los fallos de seguridad que existen en los sistemas que controlan los Metro de nuestro país y las estaciones de Renfe de toda España.

Fallos de diseño y sistemas operativos obsoletos

Alberto ha querido destacar durante su ponencia las causas a las cuales se deben estos graves fallos de seguridad. En primer lugar ha destacado fallos de diseño en las aplicaciones que muestran poca depuración de errores en su programación los cuales, permiten que el terminal pueda ser controlado por una persona totalmente externa o de forma remota utilizando características DNS.

El punto fuerte de la ponencia ha sido cuando ha demostrado la facilidad con la que se puede acceder al sistema embebido que controla los terminales. Utilizando el mismo terminal que utilizó para demostrar todo lo anterior, ha conseguido acceder con una facilidad pasmosa al sistema operativo (un Windows XP obsoleto y desactualizado) obteniendo permisos de administrador. Una vez dentro, se pueden conseguir desde las listas de todos los números de las tarjetas de crédito que han sido utilizados en cada uno de los terminales, hasta adquirir billetes en cualquier terminal de forma totalmente gratuita.

El investigador español ya ha demostrado su interés para colaborar para subsanar este tipo de problemas que hablando de seguridad siempre son graves, y más si datos personales pueden llegar a ser comprometidos.

¿Por qué estos problemas de seguridad tan graves en servicios públicos?