Cuando hace unos meses leímos la noticia de un falso aviso de incidente zombi en Montana (Estados Unidos), retransmitido a través del sistema de emergencia de la televisión local, no pudimos dejar de pensar en este suceso como en una broma ingeniosa. No obstante, meses después hemos sabido el que Sistema de Alertas de Emergencia (EAS por sus siglas en inglés) se encuentra accesible remotamente para todo aquel que quiera explotar una vulnerabilidad reciente.
Este fallo de seguridad está presente desde que se lanzó hace poco una actualización del firmware que también difundió la clave secure-shell (SSH) de los sistemas DASDEC-I y DASDEC-II. Esta clave permitiría a cualquiera con los conocimientos necesarios acceder al servidor encargado de gestionar este sistema de alertas y difundir falsos avisos de emergencia a través de una extensa área geográfica, algo que podría ser copiado por otros sistemas de alerta vecinos y propagar aun más estos falsos avisos de emergencia.
Actualmente, esta clave se ha filtrado al público, lo que implicaría que más de uno ya debe de estar pensando en cuál va a ser el próximo aviso de emergencia que quieran mostrar. Tal vez opten por imitar a Orson Wells y su “Guerra de los mundos”, aunque las posibilidades son muy variadas.
No obstante, el CERT de los Estados Unidos ha emitido un comunicado indicando que el fabricante de estos sistemas ha lanzado una nueva versión del firmware vulnerable que corrige esta vulnerabilidad, por lo que estos falsos mensajes de alerta solo se podrían realizar en aquellos sistemas que aún no hayan sido actualizados.
No deja de ser una noticia curiosa a la par que preocupante al demostrarse que un sistema tan crítico en el caso de que ocurriesen verdaderas emergencias ha sufrido una vulnerabilidad como esta. Esperamos que este suceso haya servido para concienciar un poco más sobre la importancia de tener bien protegidos los sistemas críticos, aunque en nuestro laboratorio ya hemos empezado a prepararnos por si alguna vez la alerta de un ataque zombi resulta ser verdadera 😉