Resiliencia y Seguridad dos desde julio de 2024 por este malware que explotaba la vulnerabilidad identificada CVE-2024-7029. Dicho malware permite tomar control remoto de los dispositivos, lo que puede implicar la inutilización de los dispositivos, el robo de imágenes, así como el uso de los dispositivos afectados como vectores de ataque a otros sistemas. Verkada: el 9 de marzo de 2021, la compañía estadounidense Verkada, fabricante de sistemas de videovigilancia y control de acceso, publicó en su web (www.verkada.com/securityupdate/report/) un informe relativo a un incidente de seguridad en el que exponían que sus dispositivos habían sido ciberatacados por un grupo de hackers liderado por el suizo Tillie Kottmann. Se estima que, potencialmente, pudieron acceder a unas 150.000 cámaras de seguridad instaladas en hospitales, cárceles, escuelas y empresas como Tesla y Cloudflare. Applied Risk: en 2018 y 2019, el experto en ciberseguridad industrial Gjoko Krstic, de la compañía holandesa Applied Risk, analizó vulnerabilidades en edificios inteligentes y demostró que era posible desactivar alarmas, abrir o bloquear puertas electrónicas, controlar ascensores, interceptar sistemas de videovigilancia, etcétera, aprovechando vulnerabilidades en redes wifi y en los dispositivos y sistemas conectados a ellas. Presentó su trabajo en conferencias como Hack In The Box de Ámsterdam y la ICS Cyber Security Conference de Singapur. En este contexto, y partiendo de la premisa de que la seguridad total en ciberseguridad no existe, ¿qué podemos hacer para intentar que los sistemas de seguridad sean lo más ciberseguro posibles? Estas son las claves Algunas claves para alcanzar ese objetivo son: 1. Mantener los dispositivos actualizados con la última versión de firmware y software disponible para evitar vulnerabilidades ya conocidas. En este sentido, la NVD (National Vulnerability Database), gestionada por el NIST, es la base de datos oficial de vulnerabilidades del gobierno de los Estados Unidos. Su objetivo es recopilar, analizar y publicar información sobre vulnerabilidades de seguridad en software, hardware y sistemas conectados. También ofrece detalles técnicos de vulnerabilidades (CVE), puntuaciones de severidad (CVSS), información de productos afectados, soluciones y enlaces a parches, etcétera. Algunos ejemplos de vulnerabilidades identificadas por la NVD con afectación en sistemas de seguridad son: CVE-2024-7029: afectó a dispositivos AVTech, permitiendo la infección por el malware Murdoc. CVE-2023-28808: afectó a dispositivos Hikvision, permitiendo la ejecución remota de código y el acceso no autenticado. CVE-2021-33044: afectó a dispositivos Dahua, permitiendo el acceso no autorizado con posibilidad de control total del dispositivo. Gracias a esta base de datos, una vez identificada una vulnerabilidad, los fabricantes pueden publicar una nueva versión de firmware con el fin de eliminar la vulnerabilidad en cuestión de sus dispositivos. 2. Utilizar contraseñas complejas, nunca utilizar contraseñas por defecto Los sistemas de seguridad física y en general todos los dispositivos IoT conectados a Internet son susceptibles de recibir un ciberataque / Mayo-Junio 2025 43
RkJQdWJsaXNoZXIy MTI4MzQz