Advierten sobre vulnerabilidades cibernéticas en los medidores “inteligentes” de servicios públicos


Por ActivistPost:

Los medidores “inteligentes” de servicios públicos (electricidad , gas y agua) han estado plagados de problemas, incluidas graves vulnerabilidades de seguridad, desde que comenzaron a implementarse.

En agosto pasado, IBM advirtió sobre una falla de seguridad en millones de dispositivos del «Internet de las Cosas» (IoT, por sus iniciales en inglés), incluidos los medidores “inteligentes” e implantes médicos. En diciembre también se informaron más informes sobre millones de dispositivos IoT, incluidos medidores «inteligentes».

FCW informó recientemente sobre las advertencias de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA):


Ley cibernética de IoT firmada en medio de crecientes vulnerabilidades

El 4 de diciembre, el presidente Trump firmó la Ley de Mejora de la Ciberseguridad de IoT de 2020 , que ordena al Instituto Nacional de Estándares y Tecnología (NIST) crear estándares y pautas sobre el uso y la gestión de los dispositivos de Internet de las cosas por parte de las agencias federales y desarrollar una guía sobre divulgación de vulnerabilidades y resolución de vulnerabilidades divulgadas.

El proyecto de ley no podría ser más oportuno. Cuatro días después de la promulgación de la ley, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un aviso sobre AMNESIA: 33 , un conjunto de 33 vulnerabilidades que afectan a cuatro pilas de TCP / IP de código abierto que en conjunto sirven como componentes fundamentales de millones de dispositivos conectados en todo el mundo. Forescout Research Labs informó sobre estas vulnerabilidades.

AMNESIA: 33 afecta tanto a IoT (p. Ej., Enchufes inteligentes, cámaras, sensores, luces inteligentes, etc.) como a dispositivos de tecnología operativa (p. Ej., Control de acceso físico, alarmas de incendio y humo, medidores de energía, etc.) de más de 150 proveedores. Estas vulnerabilidades se pueden aprovechar para tomar el control total de un dispositivo objetivo, afectar su funcionalidad, obtener información potencialmente confidencial o inyectar registros DNS maliciosos para apuntar un dispositivo a un dominio controlado por un atacante.

Proveedores afectados por AMNESIA: 33 podrían haberse beneficiado de la orientación existente de NIST IoT. Esta guía, que incluye NISTIR 8259: Recomendaciones para fabricantes de dispositivos de IoT: actividades fundamentales y NISTIR 8259A Core Device Cybersecurity Capability Baseline , se centra principalmente en las actividades previas a la comercialización del fabricante del dispositivo. Ambas publicaciones buscan educar a los fabricantes de dispositivos en todo el mundo sobre cómo fabricar equipos que se puedan usar de manera segura, con una configuración mejorada y otras características para una administración más efectiva.

Pero, ¿qué sucede después de que se compran e implementan los dispositivos?

La aprobación de la Ley de Mejora de la Ciberseguridad de IoT de 2020 significa que NIST comenzará a abordar la brecha en la orientación posterior al mercado para ayudar a las organizaciones a abordar adecuadamente las vulnerabilidades recién descubiertas en los dispositivos que ya están en sus redes.

Si bien el proyecto de ley solo especifica cuatro temas relacionados con IoT que el NIST debe abordar (desarrollo seguro, administración de identidades, administración de parches y configuración), las próximas directrices deberían incluir mucho más si el objetivo es proteger a las organizaciones de dispositivos de IoT potencialmente inseguros.

Por ejemplo, muchos proveedores todavía están evaluando si se ven afectados por AMNESIA: 33 y es posible que no publiquen parches de inmediato; algunos pueden no lanzar parches en absoluto. Además, debido a la naturaleza incorporada de las vulnerabilidades de AMNESIA: 33, un escaneo de vulnerabilidades tradicional en la red no las detectará. Al desarrollar la guía, el NIST debe tener en cuenta las situaciones en las que faltan métodos tradicionales y ofrecer enfoques alternativos para proteger las organizaciones.

La próxima guía de IoT del NIST debe incluir instrucciones sobre cómo aplicar las funciones centrales del marco de ciberseguridad del NIST (identificar, proteger, detectar, responder y recuperar) en entornos donde los dispositivos de IoT son cada vez más frecuentes. También debe incluir las mejores prácticas de ciberseguridad más allá de las especificadas en el texto del proyecto de ley, como la segmentación de la red , y destacar la importancia de las actividades básicas de ciberseguridad, como el inventario de activos, que proporcionan una línea de base o «una fuente de verdad» para una corrección precisa. El inventario de activos, por ejemplo, es fundamental al abordar el software integrado; las organizaciones necesitan saber qué dispositivos están afectados y luego encontrarlos en sus redes, lo cual es más fácil de decir que de hacer, especialmente si faltan buenas herramientas de detección.

Si bien el descubrimiento de cualquier vulnerabilidad que afecte a millones de dispositivos conectados puede ser impactante, la Ley de mejora de la ciberseguridad de IoT señala cómo la atención de los responsables de la formulación de políticas se centra adecuadamente en la amenaza de ciberseguridad que representan los dispositivos de IoT. La divulgación de AMNESIA: 33 muestra que tienen buenas razones para estar preocupados. A medida que el NIST se basa en el trabajo de IoT existente para desarrollar una nueva guía, las divulgaciones oportunas recuerdan a los expertos que asegurar IoT se trata de rastrear y asegurar componentes, y que escalar la detección y la respuesta será primordial.

Insto al NIST en las próximas orientaciones a abordar de manera más completa los innumerables desafíos en la seguridad de los dispositivos de IoT, especialmente porque los métodos tradicionales como el escaneo o el parcheo pueden ser inadecuados para combatir vulnerabilidades reales.


Los medidores “inteligentes” de servicios públicos nunca fueron necesarios. Ellos nunca han ahorrado cantidades significativas de las tarifas de energía y de los clientes se incrementan por lo general para su instalación y reemplazo frecuente (ver 1 , 2 , 3 , 4 ). Sin embargo, son extremadamente rentables para las empresas de servicios públicos porque transmiten en dos direcciones, mientras que los medidores analógicos originales no lo son. Esta función permite a las empresas de servicios públicos apagar los servicios de forma remota y racionar el uso de los clientes . También les permite recopilar datos de uso minuto a minuto que pueden analizar para comercializar más productos y servicios.A los consumidores. Utilidades también pueden vender estos datos a 3 rd partes (ver 1 , 2 ).

Dado que se han implementado decenas de millones de medidores “inteligentes”, es probable que se hayan instalado en su hogar y en toda su comunidad.  Se planean más instalaciones a pesar de todos los problemas asociados con ellas: incendios , explosiones, facturas más altas , aparatos que funcionan mal y rotos, riesgos de ciberseguridad (ver 1 , 2 ) y problemas de salud en personas y animales (ver 1 , 2 , 3 , 4 , 5 , 6 , 7 , 8 , 9 ).

Ha habido tanta oposición a estos medidores que algunas empresas de servicios públicos comenzaron a permitir que los clientes «optaran por no usarlos». El documental en línea, Take Back Your Power , proporciona más detalles sobre estos horribles dispositivos.

🔎 | ActivistPost


Trikooba se sustenta únicamente gracias a sus lectores. Puede apoyarnos de una manera totalmente gratuita, o realizando una mínima aportación económica. Apoya el Blog 🤝

Comparte el artículo y ayuda aumentando su visibilidad:

Deja un comentario