En el contexto actual de la transformación digital, muchos edificios modernos esconden tras su fachada pulida sistemas obsoletos con vulnerabilidades que esperan ser descubiertas. En la reciente conferencia Black Hat Europe 2025, el experto Gjoko Krstic, del Zero Science Lab, presentó una charla titulada “A City of a Thousand Zero Days”, que abordó las falencias en los sistemas de gestión de edificios. Su análisis se centró en un proveedor específico de estos sistemas, cuyas vulnerabilidades han ido acumulándose a lo largo de los años debido a múltiples adquisiciones y una falta de auditoría adecuada.
Según Krstic, más de 1,000 edificios en el mundo utilizan un sistema de gestión de edificios (BMS) que opera sobre una plataforma de software con una larga lista de fallas. Lo más alarmante es que este software está alojado en direcciones IP accesibles desde internet, lo que lo hace vulnerable a ataques cibernéticos. Un ejemplo citado durante la charla revela que una de las vulnerabilidades proviene de un código de firmware que data de hace 18 años. La falta de atención a estos defectos durante el proceso de fusiones y adquisiciones ha permitido que estas fallas persistan y, en algunos casos, se profundicen.
A pesar de que se han hecho correcciones gracias a la divulgación coordinada, el enfoque a menudo se ha centrado en solucionar problemas visibles sin abordar la causa raíz. Esto sugiere que es fundamental realizar auditorías de código completas tras la notificación de vulnerabilidades y asegurar que se emitan parches que realmente resuelvan los problemas subyacentes.
El evento también tocó la crítica necesidad de proteger los sistemas de gestión de edificios mediante capas adicionales de seguridad, como redes privadas virtuales (VPNs). La responsabilidad de la seguridad puede ser difusa; los propietarios de edificios pueden carecer de los conocimientos o recursos necesarios, mientras que los inquilinos pueden no estar al tanto de los riesgos significativos que conlleva una protección inadecuada de los servicios de sus edificios.
La falta de seguridad en estos sistemas podría permitir a un atacante, por ejemplo, manipular la temperatura en un servidor o desbloquear puertas de acceso a personas no autorizadas, lo que, aunque parezca sacado de una película de acción, es totalmente plausible. Por lo tanto, es crucial que todas las empresas se aseguren de que los servicios que sostienen sus edificios estén protegidos con el mismo rigor que sus sistemas corporativos.
No obstante, otras tecnologías, como los servidores del protocolo de escritorio remoto (RDP), también continúan siendo accesibles públicamente sin las medidas de seguridad adecuadas, como la autenticación multifactor. Si el acceso a una aplicación o red corporativa es posible tras sortear una pantalla de inicio de sesión, es imperativo implementar seguridades adicionales.
Los expertos advierten que, en un entorno donde las vulnerabilidades pueden ser explotadas fácilmente, es esencial que las organizaciones adopten un enfoque proactivo para asegurar sus infraestructuras críticas. La protección adecuada no solo previene incidentes cibernéticos, sino que también salvaguarda la integridad operativa de las empresas en su conjunto.
Fuente: WeLiveSecurity by eSet.
