El pasado mes, a plena luz del día, ladrones hackearon una gasolinera de Detroit, robando en un período de 90 minuto casi 2.300 litros de gasolina.
La gasolina, con un coste de unos 1.800$, fue bombeada a los tanques de 10 coches, mientras el dependiente de la gasolinera intentaba cerrar sin éxito el surtidor.
El dependiente, Aziz Awadh, dijo a Fox 2 Detroit que hasta que consiguió un kit de emergencia para cerrar el surtidor, no fue capaz de que la pantalla del sistema funcionase:
Intenté cerrarlo, pero no funcionó. Lo intenté desde la pantalla, pero la pantalla no funcionaba. Lo intenté desde el sistema, pero nada funcionó.
Una vez que Awadh consiguió cerrar el surtidor, llamó a la policía.
Hay muchos vídeos disponibles online sobre secuencias de números que bombearían gasolina gratis (o mejor dicho, robada). Sin embargo la policía de Detroit afirma que los ladrones de gasolina utilizaron un dispositivo para hackear el surtidor. La policía también dijo que hay una investigación en curso. Todavía no están seguros si todos los conductores de los 10 coches involucrados participaron en el robo.
La policía está buscando dos sospechosos. Eso es todo lo que sabemos por ahora. Una explicación posible de lo que sucedió es que atacaran el software de gestión de la gasolinera de Marathon.
Como Motherboard informó a principios de este año, dos investigadores israelís descubrieron múltiples vulnerabilidades en un sistema automático utilizado para gestionar el precio del fuel y otras funciones en miles de gasolineras del mundo. Las vulnerabilidades permitirían a un atacante cerrar los surtidores, secuestrar pagos de tarjetas de crédito, robar los números de las tarjetas o entrar en la red local para acceder a las cámaras de vigilancia u otros sistemas conectados. O alterar los precios y robar gasolina.
Motor de búsqueda Shodan
Los investigadores utilizaron el motor de búsqueda Shodan para descubrir miles de gasolineras conectadas a internet. Aunque el sistema se supone que está protegido por contraseñas, descubrieron un manual de usuario en el que aparecía la contraseña por defecto. Después de eso encontraron un sistema que no había cambiado la contraseña. Desde ahí fueron capaces de descargar todo el sistema de la gasolinera y analizar el código.
Por supuesto, cualquier software con un interface web es un objetivo potencial y los que no están protegidos por contraseña son presa fácil cuando usas Shodan, un motor de búsqueda para dispositivos no seguros conectados a internet de todo tipo como webcams, juguetes o incluso software de gestión de gasolineras.
Siempre debemos asumir que utilizar la contraseña por defecto con un dispositivo conectado a Internet es lo mismo que no usar una contraseña. Pero aun así, no sabemos nada del dispositivo utilizado para robar en la gasolinera de Detroit.
Todo lo que sabemos por ahora, es que las gasolineras pueden ser atacadas de muchas maneras desde las viejas analógicas hasta las más actuales digitales.
Por ejemplo, en enero informábamos que las autoridades rusas habían descubierto un gigantesco fraude que instalaba malware en los surtidores, haciendo creer a los usuarios que recibían más gasolina de la real, de hecho hasta llegaban a obtener hasta un 7% menos.
Hace unos años, se detectó una avalancha de skimmers bluetooth que robaban datos bancarios en las gasolineras de sur de EEUU. Finalmente, 13 supuestos ladrones fueron detenidos por emplear estos dispositivos y robar a las víctimas, que no tenían medios para detectar el fraude.
El año pasado, la policía de Nueva York detectó un nuevo sistema de skimmer en los surtidores que en vez de usar bluetooth, empleaba mensajes de textos GSM inalámbricos para enviar los detalles de las tarjetas de crédito a los ciberdelincuentes en cualquier parte del mundo, sin obligarlos a tener que estar en los alrededores, como sucedía en el caso anterior del bluetooth.
En España el panorama no es mejor, a principios de años ASPERTIC envío un informe a la Unión Europea en el que se constataba que, de las 189 gasolineras o tanques de combustible accesibles desde Internet en España, solo uno estaba protegido con contraseña.