Shodan: el buscador de c¨¢maras de seguridad, televisiones e incluso equipos m¨¦dicos

Hay un lugar en el que se puede encontrar informaci¨®n e incluso llegar a controlar c¨¢maras de seguridad, tax¨ªmetros, coches y yates. Tambi¨¦n televisores inteligentes, sem¨¢foros, hornos y neveras. E incluso se pueden hallar datos sobre gasolineras, lectores de matr¨ªculas y dispositivos m¨¦dicos. Ese lugar se llama Shodan y, a diferencia de Google y otros motores de b¨²squeda que indexan solo la web, cuenta con informaci¨®n de todo tipo de dispositivos conectados a Internet.

¡°Si tenemos en cuenta que casi todo est¨¢ conectado a Internet y no siempre con la seguridad m¨¢s adecuada, podr¨ªamos decir que las posibilidades est¨¢n limitadas solo por la imaginaci¨®n de los atacantes¡±, explica en una entrevista telef¨®nica Pilar Vila, miembro del Grupo de Seguridad Inform¨¢tica y para la Defensa del Consejo General de Colegios Profesionales de Ingenier¨ªa Inform¨¢tica (CCII). Shodan es un buscador creado por el inform¨¢tico suizo John Matherly que puede ser utilizado con fines mal¨¦ficos para hackear dispositivos o acceder a informaci¨®n sobre los mismos. Pero tambi¨¦n puede ayudar a los defensores a encontrar las vulnerabilidades de sus propios equipos y corregirlas.

La CNN lo describi¨® como el motor de b¨²squeda m¨¢s terror¨ªfico de Internet. Para TechCrunch, es ¡°una ventana al mundo de la absoluta inseguridad¡±. Pero, ?es realmente el motor de b¨²squeda tan aterrador? EL PA?S se ha reunido en Madrid con Fernando G¨®mez, tambi¨¦n miembro del Grupo de Seguridad Inform¨¢tica y para la Defensa del CCII para saber c¨®mo funciona este buscador. G¨®mez ha realizado previamente al encuentro una b¨²squeda para ense?ar a este peri¨®dico qu¨¦ se puede encontrar al navegar por ¨¦l.

Shodan incorpora distintos tipos de filtros. Se puede buscar por ciudad, pa¨ªs, fecha, sistema operativo o tipo de puerto. G¨®mez, que acude al encuentro con una hoja con varias IPs apuntadas, comienza buscando dispositivos conectados en Torrelodones (Madrid). Apenas tarda unos minutos en entrar dentro de una plataforma que le permite controlar la iluminaci¨®n de un lugar determinado y distintas c¨¢maras. En la p¨¢gina principal de la misma no se indica a qu¨¦ corresponden los sistemas. No sabemos si se trata del control de dispositivos en una casa, un ¨¢rea espec¨ªfica o incluso el municipio entero.

Pero una vez dentro del sistema, G¨®mez se niega a curiosear en el mismo: ¡°No podemos pasar de aqu¨ª porque podr¨ªamos estar cometiendo un delito¡±. Entrar ha sido relativamente f¨¢cil. Al pinchar en el puerto, se ha abierto una pesta?a en la que se solicitaba una contrase?a. El usuario era ¡°admin¡± y la clave, tambi¨¦n. ¡°Si tu usuario es ¡®admin¡¯ y la password tambi¨¦n es ¡®admin¡¯ es como si est¨¢s diciendo que en tu casa la puerta est¨¢ cerrada pero la llave est¨¢ debajo del felpudo¡±, afirma el inform¨¢tico. Durante el encuentro, para averiguar otras claves de otros equipos, accede a una web en la que aparecen el usuario y la contrase?a por defecto de m¨²ltiples dispositivos.

Gasolineras, tax¨ªmetros y c¨¢maras de seguridad

Adem¨¢s de buscar por ubicaci¨®n, tambi¨¦n es posible hacerlo por tipo de dispositivo. G¨®mez introduce en el buscador ¡°tank inventory¡±. Encuentra decenas de gasolineras de pa¨ªses de todo el mundo: desde Nueva Zelanda a Adeje, en Canarias, o Rota, en C¨¢diz. En un primer barrido por los primeros resultados, todas muestran la cantidad de los diferentes tipos de gasolina que tienen sus dep¨®sitos. Vila afirma que ¡°dependiendo de lo que las gasolineras tengan abierto y sin protecci¨®n, incluso se podr¨ªa llegar a modificar sus precios¡±: ¡°Por ejemplo, alterar las estaciones de autoservicio que cobran a trav¨¦s de tarjeta bancaria y hacer que cobren menos¡±.

Lo mismo puede ocurrir con otros dispositivos conectados que aparecen en Shodan. Por ejemplo, el inform¨¢tico Chema Alonso explic¨® en su web en 2016 c¨®mo era posible hackear tax¨ªmetros para, entre otras cosas, reiniciar el terminal justo antes de llegar al destino para que marque un precio menor. Durante el encuentro, G¨®mez consigue informaci¨®n de muchos otros dispositivos: desde impresoras a Play Stations, puntos de recarga e incluso barcos. Con solo introducir en el buscador VSAT, encuentra la ubicaci¨®n de multitud de embarcaciones. Una de ellas navega cerca de Filipinas. Otra, de Turqu¨ªa. Tambi¨¦n accede a las grabaciones de una c¨¢mara en tiempo real. En la pantalla de su ordenador, se muestra una calle de Estados Unidos. No se aprecian muy bien los detalles porque en ese momento all¨ª es de noche, pero se ve una marquesina con un anuncio luminoso. ¡°Podr¨ªa hacer lo que quiera con esta c¨¢mara¡±, afirma el inform¨¢tico jubilado mientras se?ala las pesta?as de administraci¨®n y men¨².

Tambi¨¦n podr¨ªan acabar siendo peligrosas las aspiradoras inteligentes. Vila sostiene que en ocasiones env¨ªan a su fabricante las coordenadas de la casa que limpian: ¡°El fabricante puede crear los planos correspondientes de la casa de ese cliente. Si un atacante es capaz de acceder a esta aspiradora o bien intercepta el env¨ªo de datos, podr¨ªa tener toda esa informaci¨®n e incluso se podr¨ªa plantear alterar el movimiento de la aspiradora si fuese posible por mala configuraci¨®n¡±

Los hospitales son infraestructuras cr¨ªticas

Hay infraestructuras cr¨ªticas cuyo hackeo podr¨ªa tener consecuencias devastadoras. Es el caso de los hospitales. G¨®mez, tras unos minutos de b¨²squeda a petici¨®n de este peri¨®dico, llega al servidor de correo de un hospital en Murcia: ¡°No se puede hacer nada, pero lo ideal ser¨ªa que ni apareciera¡±. Tambi¨¦n a la p¨¢gina de login del servidor de un centro en Granada. En ella, se le pide introducir un usuario y una contrase?a: ¡°En un hospital ni se me ocurre probar¡±. El inform¨¢tico asegura que esa p¨¢gina no deber¨ªa aparecer en Shodan, ya que se podr¨ªa hacer un ataque y acabar averiguando la contrase?a. ¡°Imag¨ªnate que un pol¨ªtico importante va a un mitin en Andaluc¨ªa, tiene un accidente de coche y le internan en este hospital. Una persona con malas intenciones podr¨ªa entrar en el sistema y cambiar los medicamentos que se le deben administrar¡±, afirma.

De hecho, los investigadores Scott Erven y Mark Collao demostraron en 2015 en una conferencia c¨®mo pudieron acceder a decenas de dispositivos m¨¦dicos de distintos hospitales utilizando Shodan, seg¨²n inform¨® la BBC. Por ejemplo, a equipos de resonancia magn¨¦tica y desfibriladores conectados. Ambos aseguraron que los atacantes podr¨ªan incluso obtener datos del historial de pacientes y conocer la ubicaci¨®n de la maquinaria dentro de un edificio.

Pero aparecer en Shodan no tiene por qu¨¦ ser malo. As¨ª lo subraya Vila, que trabaja en una empresa de consultor¨ªa y auditor¨ªa y usa este motor de b¨²squeda para estudiar las posibles tecnolog¨ªas, protocolos y puertos desprotegidos de una compa?¨ªa y securizar los sistemas: ¡°El problema viene cuando es accesible porque hay carencias de seguridad. Cuando la seguridad de un dispositivo o sistema no es suficiente, seg¨²n el caso, se podr¨ªa acceder a ese dispositivo, a sus datos e incluso se podr¨ªa llegar a controlar¡±.

Cada vez que G¨®mez consulta informaci¨®n sobre un dispositivo, Shodan le avisa de las vulnerabilidades comunes del mismo. Esta informaci¨®n puede ser usada por ¡°los malos para intentar explotar esa vulnerabilidad antes de que lo arreglen¡±. ¡°En temas de seguridad inform¨¢tica hay que saber c¨®mo funcionan los malos para ser de los buenos, ya que los malos por lo general siempre van por delante¡±, afirma.

Pero esa misma informaci¨®n tambi¨¦n puede ser utilizada por los propietarios de los dispositivos para corregir las vulnerabilidades y protegerlos. De hecho, cuando G¨®mez introduce en el buscador diferentes IPs que lleva apuntadas en un papel, algunas de las vulnerabilidades que encontr¨® en su b¨²squeda previa, ya han sido corregidas y es imposible acceder a los dispositivos.

Ambos expertos coinciden en que cualquier compa?¨ªa deber¨ªa consultar si sus dispositivos se pueden encontrar en este buscador y securizarlos. ¡°Lo temible no es Shodan, que no deja de ser una herramienta neutra. Lo temible es la falta de seguridad que existe en dispositivos, configuraciones¡­ Realmente creo que lo temible es lo poco que invierten las empresas en ciberseguridad y lo poco que se invierte en formaci¨®n dentro del ¨¢mbito de la tecnolog¨ªa y la ciberseguridad¡±, concluye Vila.