Problema 2354
BOSTON (AP) — Un popular rastreador GPS automotriz de fabricación china que se usa en 169 países tiene vulnerabilidades de software graves, lo que representa un peligro potencial para la seguridad vial, la seguridad nacional y las cadenas de suministro, descubrieron investigadores de seguridad cibernética.
[Un informe de la firma BitSight de seguridad cibernética de Boston] (https://www.bitsight.com/press-releases/bitsight-discovers-critical-vulnerabilities-wide-used-vehicle-gps-tracker) dice que las fallas podrían permitir a los atacantes secuestrar vehículos equipados con dispositivos, cortarles el combustible y tomar el control mientras viajan.
Los investigadores dicen que los usuarios deben desactivar inmediatamente el rastreador GPS MV720 hasta que haya una solución disponible. El informe se publicó el martes para [coincidir con un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. que enumera cinco vulnerabilidades] (https://www.cisa.gov/uscert/ics/advisories/icsa-22-200-01)
BitSight dijo que intentó sin éxito durante meses, a partir de septiembre, y CISA se unió a él a fines de abril, para involucrar al fabricante, MiCODUS con sede en Shenzen, en una discusión sobre las vulnerabilidades. The Associated Press llamó por teléfono y envió un correo electrónico a la empresa, pero no obtuvo respuesta. Una persona que respondió a un número de teléfono que figura en su sitio web no pudo responder en inglés.
CISA dijo en un comunicado que no estaba al tanto de "ninguna explotación activa" de las vulnerabilidades.
Los rastreadores GPS se utilizan en todo el mundo para monitorear flotas de vehículos, desde camiones hasta autobuses escolares y vehículos militares, y protegerlos contra robos. Además de recopilar datos sobre la ubicación del vehículo, también suelen monitorear otras métricas, como el comportamiento del conductor y el uso de combustible. A través del acceso remoto, muchos están cableados para cortar el combustible o la alarma de un vehículo, bloquear o desbloquear sus puertas y más.
Usando el MV720, que según BitSight cuesta menos de $25 por unidad, un usuario malintencionado podría cortar de forma remota la línea de combustible de un vehículo en movimiento, conocer el ubicación en tiempo real con fines de espionaje o interceptar y contaminar la ubicación u otros datos para sabotear las operaciones, dijo el investigador principal de BitSight en el proyecto, Pedro Umbelino.
Dijo que son posibles múltiples escenarios maliciosos: los vehículos de los socorristas podrían paralizarse, o un pirata informático podría apagar un motor y exigir un rescate en criptomonedas de las víctimas para evitar llamar a un mecánico.
Las principales vulnerabilidades: el dispositivo viene con una contraseña predeterminada que más del 90% de los usuarios no cambia, y hay una segunda contraseña oscura pero codificada que funciona para todos los dispositivos, descubrió BitSight. También encontró fallas de seguridad en el software del servidor web utilizado para administrar de forma remota los dispositivos GPS.
El fabricante, MiCODUS, afirma tener una base instalada de 1,5 millones de dispositivos en 420.000 clientes, dijo BitSight. Su investigación encontró que incluían una compañía de energía Fortune 50 y una compañía aeroespacial, un ejército nacional en América del Sur y en Europa del Este, un operador de planta de energía nuclear y una agencia nacional de aplicación de la ley en Europa occidental. No nombró a ninguno de ellos. Países con más usuarios incluidos, por continente: Brasil, México, España y Rusia.
Richard Clarke, el ex zar de la seguridad cibernética de EE. UU., dijo que el dispositivo GPS inseguro es otro ejemplo de un producto inteligente fabricado en China "que está llamando a casa y podría ser utilizado maliciosamente por el gobierno chino".
Si bien Clarke dijo que dudaba que el rastreador estuviera diseñado para ese propósito, el peligro es real porque las empresas chinas están obligadas por ley a seguir las órdenes de su gobierno, razón por la cual Washington ha estado tratando de minimizar los componentes chinos en las redes de telecomunicaciones de EE. UU. y por qué algunos en el Congreso están presionando para que se prohíban las compras de drones chinos por parte del gobierno estadounidense.
"Uno se pregunta, ¿con qué frecuencia vamos a encontrar estas cosas que son infraestructura, donde existe un potencial de abuso chino, y los usuarios no lo saben?" dijo Clarke.