Seguridad: los peligros de ser hackeado y cómo evitarlos con conocimientos básicos de informática

Los profesionales de KNX Andy Ellis y Julio Díaz García señalan los peligros de un sistema inseguro y cómo evitarlos invirtiendo en conocimientos básicos de informática.

Si su sistema KNX está conectado al mundo exterior, ¿está seguro de que es seguro? Si no es así, ¿cuáles son las posibles consecuencias? En primer lugar, hablamos con Andy Ellis sobre su experiencia en un evento reciente en el que una instalación KNX fue hackeada. Seguimos con los consejos de Julio Díaz sobre cómo evitar esta situación utilizando mecanismos informáticos adecuados para la comunicación.

¿Qué sucede si su sistema no es seguro?

Andy Ellis: Lo primero que se podría pensar en términos de una falla de seguridad es la capacidad del hacker para capturar datos del bus KNX. Me pregunto qué haría alguien con esta información, pero el hecho es que, sin un sistema KNX seguro, fuentes externas pueden tener acceso a estos datos.

En segundo lugar, en un sistema no seguro, existe la posibilidad de que un tercero envíe datos al sistema. Esto conlleva la posibilidad de que la programación se corrompa o, lo que es peor, que se corrompan uno o varios componentes concretos. Aquí creo que es pertinente transmitir mis experiencias de los últimos eventos.

Recibimos una llamada de un sitio que había perdido todo el control de la iluminación y, como sucede, también de la calefacción. El sitio tenía más de diez años y había funcionado bien antes de este evento. Aunque había una copia del archivo ETS disponible, no había ninguna otra documentación del instalador anterior.

Determinar dónde está el problema

Nuestro primer intento de diagnóstico fue por teléfono y por correo electrónico, y los primeros indicios apuntaban a un posible problema de suministro eléctrico o del bus. Era necesario realizar una visita para obtener más información y avanzar más. Mediante una rápida inspección visual pudimos comprobar que no había disyuntores disparados, los controladores e interruptores de las habitaciones estaban alimentados (tenían pantallas activas y ledes encendidos). Los cuadros de distribución principales también tenían relés y reguladores con ledes encendidos en varios estados. Hmmm. Por tanto, tal vez no sea un problema de suministro eléctrico. Tras comprobar el voltaje en el bus y luego apagar el suministro eléctrico y aislar, parece que la alimentación del bus está bien. ¡Qué extraño!

Entonces, ¿qué está conectado al bus? Tal vez haya un cortocircuito o alguna forma de corrupción. Una investigación más profunda muestra una interfaz IP activa y un «módulo lógico de terceros» (conectado mediante Ethernet) y la conexión a un sistema de automatización de terceros que tiene disponible el control de la iluminación y la calefacción en sus pantallas. La desconexión física de estos dispositivos no tiene ningún efecto sobre el estado del sistema.

Diagnóstico ETS

Entonces, ¿podemos conectar un portátil y usar el diagnóstico ETS? Pues sí… y un escaneo de línea muestra un buen número de componentes activos. Tras examinar más detenidamente las propiedades de los componentes individuales, descubrimos que algunos elementos (los que no funcionan), como los interruptores de los controladores de las habitaciones y los reguladores, ¡no tienen ninguna tabla de dirección de grupo! ¡Entonces será por eso que no funcionan!

Un análisis más detallado revela que estos componentes defectuosos no aceptarán la descarga del programa porque tienen habilitado la «BCU pass» (pero no está habilitado en el programa y, que se sepa, nunca lo ha estado). La ÚNICA manera de reprogramar estos elementos es realizar un restablecimiento de fábrica. ¿Y sabe qué? La mayoría de los componentes individuales KNX no se pueden restablecer de fábrica. El resultado final es un sitio que es totalmente inoperable y requiere muchos miles de euros de nuevos componentes para el arreglo, además de la mano de obra del ingeniero/programador.

Entonces, ¿qué ha causado este fallo catastrófico? No lo sé, y con toda probabilidad nunca lo sabré. Sin embargo, hay una probabilidad muy alta de que, como el sistema tenía una interfaz IP con conexión remota, se haya producido algún tipo de «ataque» remoto.

Lecciones aprendidas: en primer lugar, ¿su sistema KNX necesita estar conectado al mundo exterior? Si está pensando en ello, ¿cuáles son los beneficios? Y si procede con una conexión IP, mi consejo sería que investigue y comprenda todas las implicaciones de un sistema seguro. Es posible que el acceso remoto a su sistema para recuperar datos no sea tan preocupante como el acceso remoto malévolo a su sistema con vistas a alterar los datos de alguna manera.

Cómo hacer que su sistema sea seguro si tiene que conectar su sistema KNX al mundo exterior

Julio Díaz García: En primer lugar, debo destacar el principio de que KNX es una tecnología «abierta y segura». Sin embargo, debemos asegurarnos de aplicar los criterios adecuados y las herramientas que la Asociación KNX y la herramienta ETS ponen a nuestra disposición para garantizar este principio. Poder acceder a las instalaciones de forma remota es una ventaja que ofrece KNX y una necesidad en muchos casos. En las viviendas, por ejemplo, facilita en gran medida la vida de los usuarios en muchos aspectos, como la supervisión, la modificación remota de los valores de consigna, la recepción de alarmas y avisos, etc. En el caso de los edificios, puede permitir un mantenimiento remoto 24 horas al día, 7 días a la semana, cuando el gestor, el propietario o el integrador necesitan gestionar sus instalaciones sin desplazarse innecesariamente.

Garantizar un acceso seguro

Antes de comentar lo que podemos hacer para conseguir una instalación segura y accesible de forma remota, tengo que hacer hincapié en lo que NUNCA se debe hacer: permitir el acceso remoto a través del puerto UDP 3671. Este punto es conocido por los hackers y equivale a una «alfombra roja» para estos invitados no deseados.

Otra herramienta disponible para el integrador es la BCU Key, disponible desde hace muchos años para todos los dispositivos KNX (excepto los muy antiguos System-1). Mi consejo es que los dispositivos se programen siempre con una BCU Key, ya que el atacante tendría que adivinar la contraseña entre 4.290 millones de posibilidades. El uso de la BCU Key no es una molestia para el integrador, ya que el ETS nunca la pide, si se usa el proyecto original del ETS.

Para permitir el acceso seguro a una instalación KNX hay varias posibilidades:

1. Configurar una conexión VPN en el router de instalación. Es la mejor opción, pero a veces puede resultar compleja para los integradores.
2. Usar pasarelas IP KNX que permitan la configuración de servicios seguros de VPN como OpenVPN, ZeroTier, etc.3.Usar dispositivos de acceso KNX IP con comunicación encriptada.
3. Usar dispositivos KNX TP con conexión a la nube IP (no estándar KNX).
4. Para instalaciones medianas y grandes, usar una plataforma BMS con un driver nativo KNX que permita la integración y supervisión segura de instalaciones KNX masivas.

El objetivo de estos métodos es evitar el escenario descrito por Andy al principio de este artículo, que, si no se toman las medidas adecuadas, es el más peligroso y actualmente el más fácil para los hackers. Además, el uso de dispositivos KNX IP Secure y KNX Data Secure en las instalaciones resolverá cualquier escenario de amenaza adicional que pueda surgir.

Abierto, seguro y conectado

La Asociación KNX ofrece una variedad de información sobre la seguridad de las instalaciones a través de folletos, vídeos y seminarios web. Además, los Centros de Formación KNX ofrecen a los Socios KNX y a otras personas una serie de cursos útiles, incluida la formación avanzada KNX Advanced y la nueva formación de actualización KNX Refresher que incluye un capítulo dedicado a todos los temas antes mencionados. Todo esto está diseñado para asegurar que las instalaciones KNX continúen siendo de última generación en todo el mundo y que permanezcan abiertas, seguras y conectadas.

Andy Ellis es el fundador y director gerente de Household Automation Ltd y de su filial, Knxion Ltd, empresas encargadas de prestar servicios de consultoría, diseño, instalación y posasistencia en la automatización de edificios para clientes involucrados en la construcción de propiedades residenciales y comerciales.

www.household-automation.co.ukwww.knxion.co.uk

Julio Díaz es Ingeniero Industrial y propietario de SAPIENX AUTOMATION, una empresa española dedicada a la ingeniería y consultoría y un Centro de Formación Certificado KNX++ con 25 años de experiencia en soluciones de BMS y domótica e inmótica.

www.sapienx.es