Vulnerabilidades de las máquinas de billetes de Renfe y Metro de Madrid expuestas en Defcon

Estos días se ha estado celebrando en las vegas la DEF CON Hacking Conference, un congreso de hacking que congrega a expertos e investigadores en materia de seguridad de todo el mundo y a la que, por ejemplo, ha asistido el General Keith Alexander, director de la Agencia de Seguridad Nacional de Estados Unidos, para impartir una ponencia y quizás captar talento para su agencia. En eventos como éste, la mayoría de las charlas y ponencias no suelen pasar desapercibidas pero, entre todas ellas, hay una que tocó directamente algo que nos es muy cercano: las vulnerabilidades presentes en los sistemas de venta de billetes de Renfe o el Metro de Madrid.

 

Alberto García Illera, un experto en seguridad español, puso sobre la mesa lo vulnerables que pueden llegar a ser sistemas tan típicos como las máquinas de auto-venta de billetes que podemos encontrar en el Metro de Madrid o en las estaciones de tren (cuyo operador en España es Renfe). Cada vez es más habitual que “el factor humano”, es decir, las taquillas atendidas por empleados sean sustituidas (o reforzadas) por medios electrónicos como las máquinas expendedoras de billetes; lógicamente, dado que se potencia este tipo de medios, el número de usuarios que los utiliza también va en aumento pero, ¿son realmente seguros estos medios de pago? Según mostró este investigador 24 años , parece ser que la respuesta es que no y, por tanto, los datos de las tarjetas de crédito de los usuarios podían verse comprometidos e, incluso, los propios sistemas del Metro de Madrid.
En base a su experiencia, este tipo de sistemas tienen errores de diseño que pueden aprovecharse, por ejemplo, para aplicar descuentos en las compras y ésta fue una de las acciones que llevó a cabo en el Metro de Madrid. Si bien no ha querido hacer públicos los vídeos con las demostraciones prácticas (para no montar un caos en el metro), Alberto consiguió aplicar los descuentos de la tercera edad en su billete de tarifa normal, pagando menos por éste y, dado que todos los sistemas parecen estar en la misma red, conectar con la red de cámaras de videovigilancia o acceder remotamente a otros terminales.
En el caso de las estaciones de tren, los sistemas de auto-venta de billetes de Renfe son terminales basados en Windows XP cuyas vulnerabilidades no se parchean mediante actualizaciones y, por tanto, son potencialmente inseguros. Durante su presentación mostró a los asistentes cómo pudo acceder al sistema operativo de la máquina de venta de billetes, obtener permisos de administrador y escudriñar los datos de la aplicación para obtener un listado de las tarjetas de crédito utilizadas en las transacciones y ventas realizadas desde la máquina.
Lógicamente estos dos ejemplos ponen de manifiesto problemas de seguridad en sistemas que, seguramente, usemos en nuestro día y día y que, claro está, necesitan un profundo análisis para atajar estas vulnerabilidades. Alberto comentó en su charla que se puso en contacto con ambas entidades públicas para comunicarles este hecho y los problemas detectados y, según parece, en ambos casos están analizando los problemas detectados.
El hallazgo, bajo mi punto de vista, es más que interesante puesto que deja en bastante mal lugar a ambas entidades públicas (y a sus proveedores), aunque afortunadamente para Renfe y Metro de Madrid, todo esto es una investigación y no un ataque con fines malintencioandos.
De todas formas, casos como estos ponen de manifiesto la necesidad de que tanto empresas privadas como entidades públicas realicen revisiones técnicas y análisis de vulnerabilidades de manera periódica a sus sistemas, sobre todo si éstos manejan datos críticos (datos personales, tarjetas bancarias, etc). Cuesta creer que después de todo lo que hemos visto tras el ataque a la PlayStation Network, se sigan dando casos de este tipo.