Hackear semáforos es increíblemente fácil. Así es cómo.

Hackear semáforos es increíblemente fácil. Así es cómo.

Durante mucho tiempo, los conductores de todo el mundo han soñado con hacer que los semáforos cambien instantáneamente de rojo a verde con solo presionar un botón. A estudio publicado este mes por científicos informáticos de la Universidad de Michigan descubrió que no solo es posible piratear las señales de tráfico para cumplir con sus ofertas, sino que en realidad es sorprendentemente fácil.

Al obtener primero el permiso de las autoridades locales, los investigadores utilizaron poco más que computadoras portátiles con capacidad inalámbrica para piratear de forma remota la red que controla los semáforos en una ciudad de Michigan sin nombre. “Nuestros ataques muestran que un adversario puede controlar la infraestructura del tráfico para causar interrupciones, degradar la seguridad u obtener una ventaja injusta”, explicaron los autores del artículo.

Cuando las señales de tráfico automáticas se implementaron por primera vez en los Estados Unidos a fines del siglo XIX, funcionaban mecánicamente como unidades independientes. Sin embargo, a medida que pasaba el tiempo y la tecnología avanzaba, la mayoría de las señales de tráfico evolucionaron hacia computadoras, a menudo conectadas a una red más grande de otros semáforos a través de tecnología inalámbrica y funcionando a través de un servidor central. Si bien estos avances permiten que las señales de tráfico se coordinen entre sí de manera más eficiente, también abre esos sistemas al ataque de piratas informáticos que ya no necesitan abrir los dispositivos físicos para cambiar su comportamiento.

Usando computadoras que podían comunicarse a la misma frecuencia que las señales de tráfico, el equipo pudo interceptar las comunicaciones en la red y ejecutar comandos fraudulentos en todo el sistema.

Los investigadores encontraron que el sistema no era particularmente seguro. Las comunicaciones inalámbricas entre las señales de tráfico y el servidor central no solo se enviaron sin cifrar, sino que las contraseñas de los dispositivos se establecieron con los valores predeterminados de fábrica, lo que significa que cualquiera que pudiera descargar una copia del manual del usuario de Internet podría descifrarlas simplemente pasando a la página de la derecha.

'Las vulnerabilidades que descubrimos en la infraestructura no son culpa de ningún dispositivo o elección de diseño', señaló el estudio, 'sino que muestran una falta sistémica de conciencia de seguridad'.

El estudio postula que los piratas informáticos podrían montar una amplia gama de ataques en los sistemas de semáforos. Los autores especulan sobre ataques de denegación de servicio que podrían impedir que todas las luces funcionen con normalidad; ataques de congestión de tráfico que desvían sutilmente la sincronización de una luz en relación con sus vecinos para aumentar la congestión sin un alto riesgo de detección; y ataques de control de luz, donde alguien podría asegurarse de que solo enciende las luces verdes dondequiera que esté conduciendo.

Los autores agregaron que, aunque los sistemas de semáforos en todo el país difieren en sus implementaciones específicas, no creen que otros sean necesariamente significativamente más seguros que el que pudieron piratear fácilmente. Notas Vox que se estima que el 62 por ciento de los semáforos en los Estados Unidos están conectados en red de manera similar.

Este estudio no es la primera vez que alguien aborda la inseguridad de los semáforos. A principios de este año, un investigador de seguridad argentino de IoActive presentó discusión similar en una conferencia de ciberseguridad en Florida que muestra cómo alguien podría construir un dispositivo para piratear semáforos por menos de $ 100.

Además, al menos un pirata informático emprendedor ha producido un guía paso por paso para construir su propio controlador especializado para piratear semáforos desde la comodidad de su hogar.

Los autores del estudio de la Universidad de Michigan afirman que el problema de prestar una atención insuficiente a las preocupaciones de seguridad cibernética es endémico en toda la industria de las señales de tráfico. Concluyen:

Un ejemplo claro se puede ver en la respuesta del proveedor del controlador de tráfico a nuestra divulgación de vulnerabilidades. Afirmó que la empresa 'ha seguido el estándar aceptado de la industria y es ese estándar el que no incluye seguridad'. La industria en su conjunto necesita comprender la importancia de la seguridad, y los estándares que sigue deben actualizarse para reflejar esto. La seguridad debe integrarse en estos dispositivos desde el principio en lugar de incorporarse más tarde. Hasta que estos sistemas se diseñen con la seguridad como una prioridad, la seguridad de toda la infraestructura de tráfico seguirá estando en grave riesgo.

H / T Revisión de tecnología del MIT | Foto vía Paul Scott / Flickr (CC BY 2.0)