Sistemas de refrigeración utilizados por supermercados, hospitales expuestos en línea.

Miles de instancias de un sistema de control de temperatura están expuestos a ataques remotos desde Internet debido a que los usuarios no cambian las contraseñas predeterminadas e implementan otras medidas de seguridad.

Investigadores de Safety Detective descubrieron recientemente que los sistemas de refrigeración creados por Resource Data Management (RDM), un proveedor de soluciones de control y monitoreo con sede en Escocia, pueden ser fácilmente pirateados desde Internet. Los expertos dicen que los sistemas vulnerables son alojados por organizaciones de todo el mundo, incluidos proveedores de atención médica y grandes cadenas de supermercados como Marks & Spencer, Ocado y Way-On.

Una búsqueda de Shodan revela más de 7,400 dispositivos accesibles directamente desde la web, incluidos muchos en Rusia, Malasia, Brasil, el Reino Unido, Taiwán, Australia, Israel, Alemania, los Países Bajos e Islandia.

Según los investigadores, se puede acceder a los sistemas expuestos a través de HTTP en el puerto 9000 (en algunos casos a través de los puertos 8080, 8100 u 80), y solo están protegidos por una combinación de nombre de usuario y contraseña predeterminada conocida. Se puede acceder a la interfaz web en muchos casos sin autenticación, pero la contraseña es necesaria cuando se realizan cambios en la configuración.

Algunos de los sistemas se pueden identificar fácilmente a través de una simple búsqueda en Google. Al utilizar Google y Shodan, los investigadores identificaron varios tipos de organizaciones afectadas, entre ellas un centro de almacenamiento en frío en Alemania, un hospital y supermercados en el Reino Unido, una empresa farmacéutica en Malasia, una instalación de almacenamiento de alimentos en Islandia y una empresa italiana de alimentos.

Si un usuario no autorizado obtiene acceso a uno de estos sistemas, puede, entre otras cosas, cambiar la configuración de refrigerador, usuario y alarma. Esto puede suponer un grave riesgo en el caso de los supermercados y las instalaciones de almacenamiento en frío, ya que la activación de la función de descongelación podría provocar daños financieros (es decir, productos estropeados). El riesgo es aún mayor en el caso de los hospitales, donde los refrigeradores pueden almacenar sangre, órganos y vacunas.

Más información

#HablemosDeSeguridad

Vía @Securityweek

El gobierno japonés planea hackear los dispositivos de IoT de los ciudadanos.

El gobierno japonés quiere proteger los dispositivos de IoT antes de los Juegos Olímpicos de Tokio 2020.

Una enmienda aprobada recientemente a una ley japonesa permitirá al gobierno de ese país acceder a los dispositivos de Internet de las cosas (IoT) de usuarios para realizar una encuesta de dispositivos IoT no seguros. La enmienda permite a los empleados del Instituto Nacional de Tecnología de la Información y las Comunicaciones (NICT) de Japón acceder a los dispositivos de las personas utilizando contraseñas y diccionarios de contraseñas predeterminados, y crear una lista de dispositivos no seguros que se compartirá con las autoridades que pueden alertar a los consumidores. El proyecto es parte de un esfuerzo para reforzar la ciberseguridad antes de los Juegos Olímpicos de Verano 2020 en Tokio.

Más información

#HablemosDeSeguridad

Vía @zdnet

Los fallos de seguridad dejan a las bañeras de hidromasaje en aguas turbulentas.

Durante décadas las bañeras de hidromasaje eran un simple accesorio de lujo para terrazas y jardines para personas que querían un momento de relax. Recientemente, los fabricantes comenzaron a añadir excitantes funciones de Internet de las Cosas (IoT), que los departamentos de marketing promocionaban como imprescindibles.

Más información

#HablemosDeSeguridad

Vía @cibersecurityNews

Las organizaciones avanzan lento en seguridad de IoT.

A pesar del floreciente mercado de IoT, las organizaciones lograron avances limitados en seguridad de IoT en 2018, según un nuevo informe de Gemalto. Solo el 48% de las empresas dijeron que tienen la capacidad de detectar si sus dispositivos IoT han sufrido una violación. “Dado el aumento en la cantidad de dispositivos habilitados para IoT, es extremadamente preocupante ver que las empresas aún no pueden detectar si han sido violadas”.

“Sin una regulación consistente que guíe a la industria, no es de extrañar que las amenazas y, a su vez, la vulnerabilidad de las empresas, estén aumentando. Esto solo continuará a menos que los gobiernos intervengan ahora para ayudar a la industria a evitar perder el control “.

Más información

#HablemosDeSeguridad

Vía @infosecuritymgz

¿Conoce los riesgos de las cada vez más populares Smart-homes?.

Como toda tecnología conectada a Internet, corremos el riesgo de sufrir ataques a manos de ciberdelincuentes.

Dentro del Internet de las cosas, el mayor de sus riesgos es la falta de seguridad que presentan estos dispositivos. En la mayoría de los casos, éstos se conectan a nuestro smartphone a partir de una aplicación, sin mayor seguridad que un usuario y contraseña, y ya conocemos la cantidad de tácticas de las que disponen los ciberdelincuentes para obtener esta información.

Más información

#HablemosDeSeguridad

Vía @cybersecuritynewES

Inicia 2019 con una adecuada higiene digital.

Una buena higiene digital debe ser una práctica común dentro de las organizaciones, ésta consiste primeramente en conocer todos los activos que se conectan a una red de una empresa, desde un dispositivo móvil, aplicaciones en la nube, sistemas de control industrial, hasta dispositivos del Internet de las cosas. Un ataque cibernético será perpetrado sobre lo que realmente está conectado y no sobre lo que creemos que es parte de nuestra red. Fenómenos como la transformación digital y el shadow IT están creando una superficie de ataque no conocida que resulta un punto ciego para la organización.

Más información

#HablemosDeSeguridad

Vía @grupoenconcreto

Inteligencia artificial, empresas y 5G serán blanco de hackeo en 2019.

Debido al alza en la adopción de equipos del internet de las cosas, los puntos de conectividad que antes parecían inofensivos comenzarán a ser blanco de hackeos.

El incremento en la adopción de dispositivos para el hogar conectados a la red, como bocinas, asistentes virtuales, termostatos inteligentes, entre otros abrirá más opciones atractivas de las cuales los ciberdelincuentes pueden obtener datos personales.

Más información
#HablemosDeSeguridad
Vía @ExpansiónCNN

Vulnerabilidades detectadas en sensores de ciudades inteligentes

IBM Security and Threatcare examinaron hubs de sensores de ciudades inteligentes fabricados por tres compañías y detectaron 17 vulnerabilidades sin parches. Los defectos podrían ser explotados para manipular señales de tráfico y activar advertencias de inundación. Los investigadores notificaron a las compañías los problemas y todos dicen que los parches ya están disponibles. No se sabe si las ciudades que usan los sensores afectados han aplicado los parches.

#HablemosDeSeguridad
Más información
Vía Wired

Vulnerabilidad en la aplicación Swann IoT Security Camera

Las cámaras de seguridad con acceso a Internet, irónicamente han sido un gran hueco de seguridad. Una falla de seguridad en la aplicación de las cámaras de seguridad inteligentes Swann permite a los usuarios ver las transmisiones de video de otros usuarios. La API no garantiza que el usuario de una transmisión desde la cámara en la aplicación sea efectivamente el usuario autorizado de la cámara, ya que utiliza el número de serie de la cámara como el identificador para conectarse. Swann lanzó el firmware actualizado para solucionar la vulnerabilidad. El problema también recae en OzVision, el proveedor de servicios en la nube que utilizan las cámaras; hay otras posibles cámaras que usan OzVision y son igualmente vulnerables.

#HablemosDeSeguridad
Más información
Via ZDNet

Aspiradora vulnerable

IoT nuevamente da de que hablar en ciberseguridad, y es que se ha descubierto una  vulnerabilidad en las aspiradoras robóticas Dongguan Diqee 360, que podría permitir a ciberdelincuentes espiar, realizar videovigilancia y robar datos privados, según Positive Technologies.

Los investigadores Leonid Krolle y Georgy Zaytsev descubrieron los problemas de seguridad de Dongguan Diqee 360 que se encuentran en las aspiradoras, lo que probablemente afecte no solo a los fabricados por la empresa, sino también a los que se venden bajo otras marcas. Los dispositivos afectados por la vulnerabilidad CVE-2018-10987 corren el riesgo de una ejecución de código remoto autenticada.

#HablemosDeSeguridad