(+34) 910 42 42 93 [email protected]

seguridad privacidad parquimetros espana

Sergio Álvarez, corresponsal de HackerCar, nos escribió hace ya unos días para pasarnos una serie de preguntas en relación a la seguridad y privacidad de los sistemas de parquímetros españoles con el fin de preparar un reportaje.

Por supuesto, accedimos, y como viene siendo habitual, dejo por aquí tanto el artículo que acabaron publicando en el medio (ES) como las preguntas y respuestas:

Si fueses el alcalde, ¿qué requisitos exigirías a las apps de terceros para que puedan dar servicio a los parquímetros de la ciudad?

Desconozco qué medidas están tomando los Ayuntamientos españoles, pero entiendo que ya estarán exigiendo, como mínimo, una auditoría externa de los sistemas para evitar situaciones como la que le pasó en su día a ParkMobile, probablemente la app de estacionamiento más usada de EEUU, y que supuso la filtración de los datos de 21 millones de usuarios (ES).

Por Madrid vivimos una situación parecida con la posibilidad de cualquier ciudadano acogido al SER, el servicio de estacionamiento regulado de vehículos de Madrid, accediera a la información de algún otro vecino (ES) debido a un fallo que se dio a conocer en 2020.

Sin embargo, en este caso el problema no venía dado por una app per sé, sino por un fallo en el diseño de las URLs de acceso a su servicio web.

Con las apps es cierto que parte de estos riesgos se minimizan (es más complicado que un usuario cualquiera acceda aprovechándose de algún error de diseño), pero aún así, siempre existe el riesgo a que esto acabe pasando, bien sea por parte de investigadores, bien sea por parte de ciberdelincuentes.

Como experto, ¿cuáles son las primeras medidas que implantarías para evitar que los sucesos de estas noticias vuelvan a ocurrir?

Auditorías periódicas y profundas, llevadas a cabo por empresas neutrales y ajenas al proyecto, especializadas en este tipo de pruebas.

De esta manera un Ayuntamiento, que por razones obvias no puede contar con un equipo dedicado a estos menesteres, puede más o menos estar seguros que, como mínimo:

  • Se han tomado en consideración metodologías de Security by Design en el desarrollo de la app.
  • Que la base o bases de datos cuentan con medidas mínimas para ofuscar y tratar de forma segura la información personal de los usuarios.
  • Que todo el desarrollo está al día de los riesgos digitales, y ha tomado medidas para minimizar el perímetro de exposición.
  • Que el software y el hardware está en continua actualización, de nuevo con el objetivo de que, al menos, no sea vulnerable a ataques conocidos, y que no se quedará obsoleto de la noche a la mañana por algún componente que lleva años sin actualizarse.

¿Son mayores los riesgos para el usuario si ejecuta la aplicación desde sistemas operativos como Android Auto? ¿Puede ser incluso una puerta de entrada de los black hackers a otros elementos de nuestro vehículo?

A ver, aquí entramos en la típica disyuntiva sobre seguridad y privacidad de cada sistema operativo.

Realmente, y enfocándonos a los SO de los coches como es el caso de Android Auto, el perímetro de exposición suele ser menor que el que tiene nuestro móvil, por eso de que el primero está enfocado en un uso en particular, y por tanto muy limitado en cuanto a las tipologías de ataque que son vulnerables.

Ahora bien, estoy presuponiendo que tu coche mantiene la última actualización del SO, y aplica los parches de seguridad cuando corresponde. Y que además el fabricante, nuevamente, ha tomado en consideración la importancia de la seguridad a la hora de diseñar tanto la circuitería como el software compartimentado que necesita para funcionar.

Que gracias a test como los que hacéis en Cybentia es posible validar estas cuestiones, pero falta que acaben siendo algo más que una recomendación, y que se exijan para sacar al mercado un nuevo modelo.

¿Cuáles son las brechas con las que tienen que tener más cuidado estas apps?

Principalmente todas aquellas que afectan a la base de datos, como son las inyecciones SQL, y también aquellas relacionadas con sistemas de cifrado poco robustos, que permitan por ejemplo saltárselo para leer el contenido, o descubrir la clave maestra partiendo de bibliotecas previamente probadas.

¿Es posible que un cibercriminal hackee directamente un parquímetro como dispositivo físico, sin recurrir a ninguna app, para no tener que pagar el estacionamiento?

Hombre, posible en esta vida lo es todo :D.

Si me preguntas si conozco algún ataque específico, te tengo que responder que no. Pero vaya, que un parquímetro no deja de ser un pequeño ordenador tonto capado expuesto en la calle. Si el cibercriminal tiene manera de acceder a algún puerto, o hacerse pasar por un administrador, podría escalar privilegios y hacer todo lo que se pueda hacer desde un parquímetro.

Entre ellas, casi la que menos me preocupa, que es que pueda estacionarse sin pagar. El resto son peores ya que probablemente afectarían a la privacidad y seguridad del resto de usuarios.

Dadas las características de los parquímetros y sus apps asociadas, ¿podría un ciberdelincuente dejar sin Servicio de Estacionamiento Regulado a toda una ciudad?

Esto ya te digo directamente que sí.

Cualquier servicio que requiera de algo conectado en la red y centralizado, puede ser víctima de un ataque de DDoS. Cualquiera.

Por supuesto el blue team detrás de estos servidores habrán implementando las medidas necesarias para mitigar potenciales ataques, pero si hay recursos e interés suficiente en causar daño, se va a poder causar.

Fíjate si no lo que está ocurriendo esta última semana con numerosos hackeos al sistema de votación electrónica Español y a otros medios de comunicación patrios, presumiblemente por un grupo ciberactivista proruso…

Mientras la arquitectura hegemónica de los sistemas informáticos siga siendo centralizada, como es el 99% de proyectos actuales, habrá ataques DDoS capaces de tumbarlos, y por tanto, negocio en esto de ofrecer este tipo de ataques al mejor postor.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Monitorización y escucha activa

Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.

Planes de autoridad y Presencia Digital

Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.

Gestión de crisis reputacionales

Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂


Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.
Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.