Evaluando el riesgo de hacking
Es una historia digna de grandes titulares: Un hacker pone al descubierto un grave fallo del protocolo en el cual se basan muchos de los sistemas de control de accesos del mundo, venciéndolo en pocos minutos con una hábil programación y un equipo al alcance de cualquiera. Es exactamente lo que ocurrió durante la conferencia DefCon celebrada en Las Vegas en agosto, en la que Zac Franken demostró cómo se puede vencer al protocolo Wiegand, utilizado en todo el mundo.
Sin embargo, e incluso en la era de la alta seguridad, la noticia no causó un gran revuelo. Como señaló el experto en seguridad Mike Davis, director de Propiedad Intelectual de HID Global: “¿La reacción del sector? No ha habido comentarios públicos.” De hecho, y si bien es cierto que Wiegand tiene sus carencias, un sistema de seguridad bien configurado no presenta en principio grandes riesgos. A continuación repasamos algunas de las cuestiones que ha suscitado la acción de Zac Franken, así como varias soluciones para conservar la seguridad.
Dominio de Wiegand
Wiegand es un protocolo relativamente básico que se emplea desde hace 20 años, y que con todo sigue siendo la base del funcionamiento de muchos sistemas de control de acceso de última generación. Se adoptó a partir de la Wiegand Reader Technology, cuyo código de autenticación está contenido en 26 bits de datos. Muchos lectores que se emplean hoy en día se comunican con dispositivos procedentes en su origen de la tecnología del Efecto Wiegand, la cual utiliza cables separados para representar ceros y unos. Hoy en día, casi todas las tecnologías empleadas por los lectores (como Proximity, Contactless Smart Card e incluso los sistemas biométricos más avanzados) siguen utilizando el Protocolo Wiegand para comunicar los lectores con los paneles de control de acceso. “Es increíble hasta qué punto el protocolo Wiegand domina el sector”, afirma Davis.
Como cualquier otro sistema de comunicación, el Protocolo Wiegand tiene sus puntos fuertes y también sus fallos. Entre las ventajas están su adopción generalizada por parte del sector, su bajo coste de implementación, su capacidad de recorrer distancias relativamente largas, y el hecho de que es eléctricamente robusto e inmune a los daños. Por desgracia, Wiegand tiene también sus limitaciones. En primer lugar, no ofrece autenticación entre lectores y paneles de control de acceso, con lo cual es fácil interceptar los códigos. En segundo lugar, 26 bits de datos es muy poco. Según Davis, el formato Wiegand más extendido hoy en día soporta 256 códigos de sitio y 65.535 ID’s únicos, lo cual permite que los usuarios de los sistemas de acceso de edificios cercanos puedan tener tarjetas compatibles e incluso ID’s idénticos (por ejemplo, un vecino podría pulsar el abridor de la puerta de su garaje y abrir también tu puerta). Pero ésta es una posibilidad muy remota. Franken explotó el primer punto débil: creó un dispositivo con un microcontrolador programado para grabar códigos de acceso desde un lector compatible con Wiegand y responder a una tarjeta especial. A continuación colocó el dispositivo en el cableado del lector, siendo aquél capaz de controlar las comunicaciones y los códigos de acceso, y de utilizar uno de ellos para abrir la puerta cuando se presenta la tarjeta especial a un lector controlado por el dispositivo.
Trucos del oficio
Si atacar a Wiegand es así de fácil, ¿por qué nadie parece estar muy preocupado? Lo cierto es que el ataque es difícil y arriesgado, sobre todo si se compara con otros métodos. Dado que Franken no dio a conocer su código, un ladrón necesitaría un conocimiento igual de sofisticado de programación de firmware para replicar su acción, y también tendría que arrancar de la pared el lector de control de accesos. Además, no todas las empresas emplean el formato de 26 bits de Wiegand, ya que en general se intenta trabajar con un formato único. En el caso de ciertos formatos, éstos sólo los puede obtener de manos del fabricante el propio cliente.
Del mismo modo, el riesgo de que un sistema Wiegand pueda ser vencido es comparativamente bajo. Tal y como indica Davis, “hay muchas formas de entrar en un edificio sin usar ninguna tecnología; si la pared es de cristal, basta un ladrillo para entrar.” Otros métodos son la ingeniería social (engañar a alguien para que te deje entrar) u otros sistemas tecnológicamente muy simples, como pegar un papelito a un palo, pasarlo por debajo de una puerta y moverlo hasta activar la apertura del detector interno de movimiento.
Es cierto que las empresas pueden crear alternativas mejores que la de Wiegand, pero los nuevos protocolos podrían plantear otros problemas, como el aumento de los costes y la dependencia de los protocolos de comunicación de los propietarios. Trabajar con un protocolo común permite a los vendedores crear productos compatibles y lograr economías de escala. Un sistema de propiedad privada aumentaría en gran medida los costes y podría atar a los clientes a un único proveedor. Y otras tecnologías, como TCP/IP, pueden ser aún más vulnerables que Wiegand a los ataques, ya que muchos programadores dominan su uso.
Seguridad por capas
Por tanto, ¿cuál es la mejor solución? Seguir las prácticas idóneas del sector. Los sistemas de control de acceso normalmente son compatibles con los mecanismos de defensa que proveen los fabricantes; y aunque en la práctica no se emplean casi nunca, se deberían tener en cuenta. En las instalaciones debería haber también cámaras situadas en las zonas de acceso principales, o personal de seguridad que inspeccionara los lectores a diario. Y cualquier indicio de ataque debería ser investigado de forma inmediata. Aunque estas medidas pueden ser suficientes para las necesidades básicas de la mayoría, en instalaciones de alto riesgo es preciso implementar múltiples capas de seguridad. “No se puede diseñar un sistema de seguridad con puntos vulnerables”, afirma Davis. Se pueden utilizar circuitos de televisión, guardas de seguridad, dispositivos adicionales de control de acceso y otras medidas para lograr un nivel mayor de seguridad. E incluso si Wiegand fuera sustituido por un sistema mejor, esta tecnología también se vería expuesta a ataques, por lo cual es esencial un sistema de capas. En palabras de Davis: “Si confías en un solo elemento de control de accesos para que lo haga todo, el sistema que estás implementando no va a ser capaz de realizar su labor.”
* Indica campo obligatorio