En estos días que tanto se habla de ls escalada de precios de los combustibles resulta cuando menos curioso (aunque no nos sorprenda) la noticia publicada aquí sobre la poca (ciber) seguridad de las gasolineras en el mundo / mundial. De todas formas, tampoco están mucho más asegurados la mayoría de los contadores inteligentes que tenemos en nuestras casas para controlar la luz

Tan  inseguras (o más) las gasolineras como el router de tu casa

Si bien se refieren a un robo de más de 1500 litros de combustible en una gasolinera en Carolina del Norte es de imaginar que aquí estemos igual o peor. Suponemos que será mas sencillo el caso en las gasolineras Low-Cost que suelen estar telecontrolados que no en las de «renombre» que muchas veces solo tienen conectado a Internet la pasarela de pagos.

El hecho es que ya desde el año 2018, Kaspersky viene notando que casi un 30% de las gasolineras en USA (y otro tanto en India, por ejemplo) están conectadas a Internet utilizando aplicaciones Linux en las que nadie se ha molestado en cambiar las credenciales de acceso.

El contador inteligente de tu casa es facilmente hackeable

Por otra parte, inclusoes peor la seguridad de los contadores inteligentes de la luz que llega a nuestras casa. La configuración de los protocolos de comunicación PLC con el que los contadores reportan remotamente el consumo viaja en texto plano y con la contraseña 00000001, lo que facilita modificar el firmware para cometer fraude eléctrico declarando menos consumo o modificando el límite de potencia.

Con PLC los contadores y el concentrador situado en el transformador de media tensión se comunican mediante pequeños impulsos sobre la propia red eléctrica, sin necesidad de utilizar otros medios como la red móvil. Esta comunicación utiliza en España principalmente el protocolo Prime en la capa física y DLMS en la de aplicación. Estos protocolos se encargan de que la comunicación sea fiable, dado lo propensa que es la red eléctrica a generar todo tipo de ruido que corrompe la transmisión de los datos.

Según nos cuentan aquí:

Utilizando una placa PLC disponible por menos de 600 € del fabricante Microchip PL360EK y la herramienta PLCTool desarrollada por ellos mismos, que también han hecho pública, la compañía revela cómo además de utilizar una versión obsoleta del protocolo, buena parte de la red española utiliza un perfil Prime sin cifrar, por lo que los datos intercambiados son visibles en texto plano por cualquier usuario simplemente monitorizando las tramas PLC desde un enchufe en su casa.

Lo mismo ocurre en la siguiente capa. Los paquetes CLMS viajan sin cifrar, utilizan autenticación de baja seguridad y contraseñas tan simples como 00000001. La cosa se pone fea cuando se comprueba que los contadores pueden actualizar su firmware sin autentificar el origen del binario, lo que permite introducir malware o modificar su comportamiento, abriendo la puerta al fraude eléctrico, por ejemplo, haciendo que reporte menos consumo que el real.