BOSTON (AP) - Los investigadores de una empresa de ciberseguridad afirman haber identificado vulnerabilidades en un software ampliamente utilizado por millones de dispositivos conectados, fallos que podrían ser explotados por piratas informáticos para penetrar en redes informáticas empresariales y domésticas y perturbarlas.

No hay pruebas de ninguna intrusión que haya hecho uso de estas vulnerabilidades. Pero su existencia en el software de comunicación de datos central de los dispositivos conectados a Internet llevó a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. a señalar el problema en un boletín.

Los dispositivos potencialmente afectados de unos 150 fabricantes van desde termómetros conectados en red a enchufes e impresoras "inteligentes", pasando por routers de oficina y aparatos sanitarios, hasta componentes de sistemas de control industrial, afirma la empresa de ciberseguridad Forescout Technologies en un informe publicado el martes. La mayoría de los afectados son dispositivos de consumo, como sensores de temperatura y cámaras con control remoto, según el informe.

En el peor de los casos, los sistemas de control que impulsan "servicios críticos para la sociedad", como el agua, la electricidad y la gestión automatizada de edificios, podrían quedar paralizados, según Awais Rashid, informático de la Universidad británica de Bristol que revisó los resultados de Forescout.

En su aviso, el CISA recomendó a los usuarios que tomaran medidas defensivas para minimizar el riesgo de piratería informática. En concreto, sugería desconectar los sistemas de control industrial de Internet y aislarlos de las redes corporativas.

El descubrimiento pone de relieve los peligros que los expertos en ciberseguridad suelen encontrar en los aparatos conectados a Internet diseñados sin prestar mucha atención a la seguridad. Una programación descuidada por parte de los desarrolladores es el principal problema en este caso, dijo Rashid.

Arreglar los problemas, que podrían afectar a millones de dispositivos afectados, es especialmente complicado porque residen en el llamado software de código abierto, código que se distribuye libremente para su uso y posterior modificación. En este caso, el problema afecta a un software fundamental de Internet que gestiona la comunicación entre dispositivos de Internet mediante una tecnología denominada TCP/IP.

Solucionar las vulnerabilidades de los dispositivos afectados es especialmente complicado porque el software de código abierto no es propiedad de nadie, dijo Elisa Costante, vicepresidenta de investigación de Forescout. Dicho código suele ser mantenido por voluntarios. Parte del código TCP/IP vulnerable tiene dos décadas de antigüedad; otra parte ya no recibe soporte, añadió Costante.

Corresponde a los propios fabricantes de dispositivos parchear los fallos, y puede que algunos no se molesten, dado el tiempo y el gasto necesarios, dijo. Parte del código comprometido está incrustado en un componente de un proveedor, y si nadie lo documentó, es posible que nadie sepa siquiera que está ahí.

"El mayor reto consiste en descubrir lo que tienes", dijo Rashid.

Si no se corrigen, las vulnerabilidades podrían dejar las redes corporativas expuestas a ataques paralizantes de denegación de servicio, entrega de ransomware o malware que secuestra dispositivos y los alista en redes de bots zombis, dijeron los investigadores. Con tanta gente trabajando desde casa durante la pandemia, las redes domésticas podrían verse comprometidas y utilizarse como canales de acceso a las redes corporativas a través de conexiones de acceso remoto.

Forescout notificó a tantos proveedores como pudo acerca de las vulnerabilidades, que denominó AMNESIA:33. Pero fue imposible identificar todos los dispositivos afectados, dijo Costante. La empresa también alertó a las autoridades de seguridad informática de EE.UU., Alemania y Japón, dijo.

La empresa descubrió las vulnerabilidades en lo que denominó el mayor estudio jamás realizado sobre la seguridad del software TCP/IP, un esfuerzo de un año que denominó Proyecto Memoria.