Investigadores del Laboratorio de Inspección Técnica de la Escuela de Minas (LITEM) de la Universidad de León (ULE), en coordinación con el Instituto Nacional de Ciberseguridad (INCIBE), han descubierto una vulnerabilidad que afecta a un dispositivo utilizado habitualmente para la monitorización y gestión de infraestructuras solares fotovoltaicas de mediana y gran envergadura, a la que se ha asignado el identificador CVE-2019-13529.
A nivel nacional se han llegado a identificar un total de 368 dispositivos expuestos públicamente en Internet que podrían estar afectados por esta vulnerabilidad. A esta cantidad, habría que sumar aquellos activos no expuestos, pero de igual manera susceptibles a la explotación de la misma por usuarios malintencionados.
La explotación exitosa de esta vulnerabilidad puede permitir a un atacante la posibilidad de provocar condiciones no seguras como desconexión y reinicios no deseados en los dispositivos afectados, modificación de credenciales de usuario, activación de servicios no deseados o incluso modificación de parámetros de entrada asociados a dispositivos como sensores.
En este sentido, INCIBE dispone de capacidades de respuesta proactiva frente a este tipo de situaciones, lo que permite analizar y monitorizar el estado nacional de elementos industriales expuestos en Internet. De esta forma, es posible notificar de dicha situación en fases tempranas, a las organizaciones afectadas, reduciendo así la ventana de exposición a este riesgo por parte de este tipo de infraestructuras nacionales.
El hallazgo de la vulnerabilidad CVE-2019-13529 se enmarca dentro de los trabajos planificados en la Adenda al Convenio Marco suscrito entre ambas entidades para la realización de ‘Líneas de Investigación aplicada en Ciberseguridad Industrial’.
El grupo de investigación del LITEM está coordinado por el profesor Jorge Blanes y se constituye como un Servicio integrado en la ULE, que tiene el objetivo de ofrecer a la Universidad y a la sociedad en general los servicios que permite su equipamiento.
Hay que añadir además que INCIBE es un pilar esencial en el organigrama nacional para la protección en materia de ciberseguridad gracias al reconocimiento de INCIBE-CERT como CERT de referencia, en el Real Decreto-Ley 12/2018, del 7 de septiembre, para ciudadanos y empresas en España.
Adicionalmente a esta labor, y conjuntamente con CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad) del Ministerio del Interior, el INCIBE gestiona los incidentes que afecten a Operadores Críticos del sector privado.