En el constante desarrollo de tecnología aplicada a la seguridad física, es importante revisar la capacitación que el personal que opera y administra la seguridad tiene al respecto. Para nadie es un secreto que en la actualidad todo está controlado por la tecnología, y la seguridad física no es la excepción, puesto que nuestros sistemas de seguridad ya no son independientes y tampoco funcionan por si solos, como pudo ser en los inicios. De hecho, en la actualidad lo necesario son los elementos conectados IP. Sin duda, estaremos de acuerdo que hoy en día los sistemas de seguridad física (protección de incendio, detección de intrusiones, CCTV) se conforman sobre infraestructura de tecnologías de información.

Ello nos deja claro que para instalar un SPF (Sistema de Protección Física) es necesario utilizar sistemas computacionales y redes TCP/IP. Y muy seguramente, ya sabemos de buena tinta lo que pasa cuando usamos las TI sin tener en cuenta su seguridad informática. El problema radica en la capacitación del personal que opera y administra los SPF, pues no todos cuentan con las competencias necesarias para la convergencia entre la seguridad física y la seguridad informática y cómo esto puede volver vulnerable un sistema de seguridad física. Aún existen gerentes de seguridad que subestiman este tema y piensan que es responsabilidad de TI garantizar que no suceda nada con nuestros equipos de seguridad física. Desde mi punto de vista esto es un error, pues los administradores de los sistemas de seguridad física somos nosotros, por tanto es importante poseer los conocimientos básicos del tema, para no generar inseguridad física. Ejemplos de ataques cibernéticos en los sistemas de seguridad existen varios, a continuación mencionare algunos que son importantes: “Utilizan 25.000 cámaras de video vigilancia para lanzar ataques DDoS, Los atacantes secuestran cámaras de seguridad CCTV para lanzar ataques DDoS, ya que se aprovechan que los usuarios utilizan credenciales débiles y de configuraciones por defecto de los dispositivos.

Por desgracia, la mayoría de los dispositivos carecen de seguridad por diseño o no están configurados correctamente, Televisores inteligentes, Smartphone, CCTV, alarmas, controles de accesos son vulnerables. Los informes indican que en 2014, había 245 millones de cámaras de vigilancia que operan en todo el mundo La inusual botnet cuenta con 25.000 efectivos y fue descubierto por el equipo de seguridad de Sucuri cuando se investigaba un ataque a la web de una joyería. La página web de la tienda de la joyería se quedó fuera de línea después de recibir un ataque de 35.000 peticiones HTTP por segundo (RPS, Request Per Second). Cuando Sucuri intentó mitigar el tsunami de la red, la red de bots intensificó su ataque y arrojó más de 50.000 peticiones HTTP por segundo en el sitio web de la tienda.” Tomado de http://blog.elhacker.net/2016/06/utilizan-25.mil-camaras-de-cctv-videovigilancia-para-lanzar-ataques-DDoS-botnet.html. “Ataque de hackers a cámaras de video vigilancia: Recientemente se produjo un ataque de hackers contra más de 900 cámaras de video vigilancia repartidas por todo el mundo.

A pesar de las numerosas advertencias de los expertos en ciber seguridad y los fabricantes de cámaras, el hecho es que muchos usuarios finales y, lo que es más preocupante, instaladores de dispositivos de seguridad, tal y como son las cámaras IP o los NVR y DVR actuales, no han podido hacer frente a las vulnerabilidades que cualquier profesional debe tener en cuenta en este tipo de instalaciones. El ataque, que alcanzó un máximo de alrededor de 20.000 solicitudes por segundo, aprovechó aproximadamente 900 cámaras de vigilancia repartidas por todo el mundo. Los hackers están utilizando cámaras IP para llevar a cabo este tipo de ataques, debido a que rara vez se siguen medidas de seguridad tan básicas como cambiar las credenciales de inicio de sesión y contraseñas por defecto. Una vez que los hackers toman el control de la cámara, no sólo pueden acceder a las imágenes, sino también las pueden convertir, como sucedió en este caso, en equipos zombies que sirvan a sus intereses.”

Tomado de https://www.reqquality.com/ataque-de-hackers-a-camaras-de-videovigilancia/ hackeo a unas CCTV de un casino. Los maleantes lograron robar dinero por medio del abuso de estas cámaras. Tomado de http://www.theregister.co.uk/2013/03/15/cctv_hack_casino_poker/ Como se puede ver, solo por ilustración he traído tres casos donde la seguridad física se convirtió en inseguridad física, que obviamente afecta a las organizaciones a las que pretendemos proteger, en donde los daños reputacionales, la perdida de dinero, la perdida de confiabilidad del sistema de seguridad y de quienes administramos y controlamos dichos sistemas, son riesgos que tenemos que mitigar. Por ello es muy importante entender cómo funcionan y se protegen las redes donde se soportan los SPF; y no podríamos entender eso, sino entendemos lo fundamental, que tiene que ver con el famoso modelo OSI, modelo creado a fines de la década del 70, con el único propósito de unificar las comunicaciones en una red, desde el punto de vista del diseño. El modelo en si es un diseño de arquitectura grafica que busca segmentar a cada componente de la red en diferentes capas. Este modelo posee siete capas, y algunos expertos incluyen una octava que está relacionada con el factor humano. De aquí ya parten algunas complejidades, que debemos tener en cuenta al momento de instalar nuestros SPF. Adicional debemos lidiar con terminología que no conocemos, pero que empleamos todos los días, como por ejemplo, red zombi, host, redes LAN, WAN, Ethernet, entre otros. En fin un sin número de palabras que muchas veces no las entendemos pero las aceptamos como parte de la tecnología aplicada a la seguridad física. Todo lo anterior, nos indica es que tenemos un nuevo reto en la convergencia de las seguridades física e informática, que si bien es cierto que son temas complejos, también es cierto que debemos abordarlos y como mínimo, entender lo fundamental, y apoyarnos en los expertos del tema.

Como conclusión, hay muchas cosas que podemos hacer, pero vamos a referirnos a algunas del sentido común, que es el menos común de los sentidos. Lo primero es entender la Convergencia o Seguridad Integral entre seguridad física e informática. La idea es trabajar en equipo entre las áreas. Lo único que comparten ambas áreas es la palabra “seguridad”. Más allá de eso, son mundos diferentes. Lo que se busca entonces son equipos colaborativos frente al tema. La realización de pentesting a los sistemas de seguridad física. ¿Si hacemos pentest a la red, a los sistemas, a las bases de datos, al web, por qué no a los sistemas de seguridad física? Tienen sistemas y se comunican por red. El pentest evidenciará las vulnerabilidades del sistema. Seguir pautas informáticas para los sistemas de seguridad física puede repercutir en la minimización de riesgos. Existe una guía del NIST llamada “Guide to Industrial Control Systems (ICS) Security”. La idea es seguir liniamientos de seguridad informática en los sistemas de seguridad física. Ya en la parte de evitar vulnerabilidades de seguridad asociadas con redes de malla algunas podrían ser las siguientes como línea base: Ocultar los filtros SSID (nombres públicos de una red inalámbrica) y MAC (que permite a los usuarios definir una lista de dispositivos permitidos en la red Wi-Fi) también mantendrá a raya a los hackers menos hábiles. Asegúrese de que todas las etiquetas en el equipo estén ocultas y selladas para disuadir a atacantes que no tienen información privilegiada. Asegurar los datos de video con criptografía de clave pública hará casi imposible manipular los datos de video.