/ Segundo cuatrimestre 2025 70 artículo técnico Ciberseguridad Los sistemas de seguridad física y, en general, los dispositivos IoT conectados a Internet son susceptibles de recibir un ciberataque. Y un ciberataque podría conllevar, por ejemplo, que un ciberdelincuente desactivase un sistema de intrusión, inutilizase un sistema de videovigilancia, robase y/o eliminase imágenes, deshabilitase un control de accesos o abriese una cerradura electrónica, acarreando, a su vez, consecuencias para la seguridad de instalaciones y personas que podrían ser muy graves a nivel operativo, económico, legal y reputacional. Vulnerabilidades A continuación, cito algunos casos relacionados con vulnerabilidades en sistemas de seguridad que se han hecho eco en el mundo de la ciberseguridad. AVTECH. En enero de 2025, Qualys publicó un informe técnico sobre la botnet Murdoc donde se recogía que dispositivos de la marca AVTECH, fabricante taiwanés de sistemas de videovigilancia, se habían visto afectados desde julio de 2024 por este malware que explotaba la vulnerabilidad identificada CVE-2024-7029. Este malware permite tomar control remoto de los dispositivos, lo que puede implicar su inutilización, el robo de imágenes y el uso de los dispositivos como vectores de ataque a otros sistemas. Verkada. El 9 de marzo de 2021, la compañía estadounidense Verkada, fabricante de sistemas de videovigilancia y control de acceso, publicó un informe relativo a un incidente de seguridad en el que exponía que sus dispositivos habían sido ciberatacados por un grupo de hackers liderado por el suizo Tillie Kottmann. Se estima que pudo acceder a unas 150.000 cámaras de seguridad instaladas en hospitales, cárceles, escuelas y empresas como Tesla y Cloudflare. Applied Risk. En 2018 y 2019, el experto en ciberseguridad industrial Gjoko Krstic, de la compañía holandesa Applied Risk, analizó vulnerabilidades en edificios inteligentes y demostró que era posible desactivar alarmas, abrir o bloquear puertas electrónicas, controlar ascensores, interceptar sistemas de videovigilancia, etc., aprovechando vulnerabilidades en redes wifi y en los dispositivos y sistemas conectados a ellas. ¿Qué podemos hacer? En este contexto, ¿qué podemos hacer para intentar que los sistemas de seguridad sean lo más ciberseguros posible? Algunas claves para alcanzar ese objetivo son: Mantener los dispositivos actualizados con la última versión de firmware y software disponible. La NVD (National Vulnerability Database) gestionada por el NIST (National Institute of Standards and Technology) es la base de datos oficial de vulnerabilidades del Gobierno de EEUU. Su objetivo es recopilar, analizar y publicar información sobre vulnerabilidades de seguridad en software, hardware y sistemas conectados. Y ofrece detalles técnicos de vulnerabilidades (CVE), puntuaciones de severidad (CVSS), información de productos afectados, soluciones y enlaces a parches, etc. Algunos ejemplos de vulnerabilidades identificadas por la NVD con afectación en sistemas de seguridad son: CVE-2024-7029. Afectó a dispositivos AVTECH permitiendo la infección por el malware Murdoc. CVE-2023-28808. Afectó a dispositivos Hikvision permitiendo la ejecución remota de código y el acceso no autenticado. CVE-2021-33044. Afectó a dispositivos Dahua permitiendo el acceso no autorizado con posibilidad de control total del dispositivo. Gracias a esta base de datos, una vez identificada una vulnerabilidad, los fabricantes pueden publicar una nueva versión de firmware con el fin de eliminar la vulnerabilidad en cuestión de sus dispositivos. Utilizar contraseñas complejas, nunca utilizar contraseñas por defecto y usar sistemas multifactor si es posible. La ciberseguridad, ¿el punto débil de los sistemas de seguridad? Juan Carlos Fúnez Responsable de IT en Casmar
RkJQdWJsaXNoZXIy MTI4MzQz