Áú»¢¶·ÔÚÏß

Producto

Qu¨¦ hacer con las vulnerabilidades del OSDP en el control de acceso

?Has o¨ªdo hablar de las vulnerabilidades del OSDP y te preguntas c¨®mo mitigar los riesgos? Lee este blog para saber c¨®mo reforzar tu sistema de control de acceso.

?ltimamente se ha hablado mucho de .

Estas vulnerabilidades del control de acceso fueron de este a?o por una empresa de seguridad, . Poco despu¨¦s, ampliaba los cinco riesgos explotables del OSDP mencionados en la charla.

Desde entonces, el sector de la seguridad electr¨®nica se ha llenado de preguntas y dudas sobre el protocolo OSDP. Con los actores de amenazas listos para capitalizar las debilidades del sistema, las organizaciones necesitan conocer los impactos de las vulnerabilidades del OSDP y c¨®mo defenderse contra las amenazas relacionadas con el OSDP.

Sigue leyendo para conocer todos los recursos disponibles que te ayudar¨¢n a reforzar tu sistema Security Center contra esta vulnerabilidad del OSDP.

 
 

?Qu¨¦ es el protocolo OSDP?

OSDP son las siglas de Open Supervised Device Protocol. Se trata de un protocolo de comunicaci¨®n de control de acceso muy com¨²n hoy en d¨ªa, que proporciona un marco seguro y flexible para enlazar varios componentes de un sistema de control de acceso.

M¨¢s concretamente, el OSDP conecta los lectores de tarjetas y otros perif¨¦ricos de control de acceso a los controladores. Esto garantiza que los paneles de control puedan verificar las credenciales con la base de datos de tarjetahabientes y conceder o denegar el acceso a puertas o zonas.

El OSDP fue creado por la Security Industry Association (SIA) como protocolo de control de acceso de nueva generaci¨®n para mejorar la interoperabilidad entre los productos de control de acceso. El OSDP tambi¨¦n soporta encriptaci¨®n AES de 128 bits, tecnolog¨ªa de tarjeta inteligente y . Por este motivo, el OSDP se ha considerado la opci¨®n m¨¢s segura para las instalaciones de control de acceso frente . En 2020, la Comisi¨®n Electrot¨¦cnica Internacional tambi¨¦n aprob¨® .

?Qu¨¦ es el hackeo del OSDP? ?Y c¨®mo podemos defendernos de los riesgos del OSDP?

El hackeo del OSDP fue presentado por Dan Petro y David Vargas de Bishop Fox en la conferencia Black Hat de este a?o. Los dos investigadores de seguridad compartieron c¨®mo pudieron hackear un sistema de control de acceso utilizando las vulnerabilidades del protocolo OSDP. Tambi¨¦n detallaron sus hallazgos y recomendaciones en un blog titulado '').

A continuaci¨®n te daremos un r¨¢pido resumen de las cinco principales vulnerabilidades de seguridad del OSDP que presentaron y las mejores formas de mitigar estos riesgos de hoy.

Las 5 principales vulnerabilidades del OSDP que hay que tener en cuenta

 

  Encriptaci¨®n opcional para el OSDP

El OSDP soporta la encriptaci¨®n, pero depende de ti activar esa funcionalidad en cada dispositivo. Si no activas la encriptaci¨®n del Canal Seguro durante la instalaci¨®n del dispositivo, o si implementas dispositivos que no soportan todas las funcionalidades de seguridad disponibles en el protocolo OSDP (como la encriptaci¨®n), podr¨ªas quedar vulnerable ante los ciberdelincuentes.

?Qu¨¦ puedes hacer para mitigar este riesgo?

  Activa el Canal Seguro

Esto es algo que debe hacerse al instalar y configurar los dispositivos de control de acceso. En nuestra , encontrar¨¢s recomendaciones para utilizar el protocolo OSDPv2 con el modo de Canal Seguro activado. Tambi¨¦n puedes seguir las instrucciones paso a paso para activar las conexiones seguras de lector desde el Config Tool de Security Center.

  Sigue las instrucciones de instalaci¨®n relacionadas con el OSDP

Si utilizas Synergis? Cloud Link, aseg¨²rate de seguir todas las recomendaciones relacionadas con el OSDP de la y la . Aqu¨ª hay algunas secciones espec¨ªficas de la Gu¨ªa del Administrador que cubren las normas del OSDP y la mejor manera de implementar tus dispositivos con el OSDP:

 

Si buscas una gu¨ªa sobre dispositivos con el OSDP de proveedores de control de acceso espec¨ªficos que se conectan a Synergis Cloud Link, .

Si buscas orientaci¨®n relacionada con el OSDP para Synergis Cloud Link Roadrunner?, consulta estos recursos:

 

  Monitorea tu ¨ªndice de seguridad

Dentro de Security Center, el widget Security Score monitorea la seguridad de tu sistema en tiempo real y la compara con un conjunto de pr¨¢cticas recomendadas. Luego te da una puntuaci¨®n y te ofrece recomendaciones para mejorar tu ciberseguridad. Una de las recomendaciones para el control de acceso es "utilizar conexiones de lector seguras". Si a¨²n no has activado el Canal Seguro, la Puntuaci¨®n de Seguridad te advertir¨¢ sobre ese riesgo potencial y te recomendar¨¢ que asegures las conexiones de tus dispositivos de control de acceso para mejorar tu ¨ªndice de ciberseguridad.

  Ataques con degradaci¨®n de hardware

Cuando un lector se conecta por primera vez, transmite una lista de capacidades al controlador, incluyendo si soporta encriptaci¨®n. Sin embargo, soportar la encriptaci¨®n en el Canal Seguro y aplicarlo son dos cosas muy distintas.

Por tanto, aunque tus lectores y controladores de control de acceso soporten la encriptaci¨®n en el Canal Seguro y lo hayas activado, ?seguir¨¢n aceptando los dispositivos el intercambio de datos no encriptados?

Los investigadores descubrieron que, conectando un dispositivo de hackeo al cableado de un lector concreto, pod¨ªan interceptar la comunicaci¨®n del lector con el controlador. Entonces podr¨ªan decirle al controlador que el lector no soporta la comunicaci¨®n encriptada. Esto degrad¨® el protocolo de comunicaci¨®n y les ayud¨® a acceder a la informaci¨®n de las credenciales.

?Qu¨¦ puedes hacer para mitigar este riesgo?

  Elije dispositivos seguros

Es importante saber que esta vulnerabilidad es espec¨ªfica del hardware. Algunos fabricantes de dispositivos de control de acceso disponen de la funci¨®n "Canal Seguro Obligatorio". Esto significa que el dispositivo rechazar¨¢ cualquier comunicaci¨®n que no sea segura.

  Comprueba la configuraci¨®n de tu OSDP

Puedes verificar la configuraci¨®n del OSDP de tu controlador. Cada dispositivo es diferente, as¨ª que habla con tus proveedores de hardware de control de acceso para saber m¨¢s sobre esta configuraci¨®n y aseg¨²rate de que tus controladores rechazan la comunicaci¨®n no encriptada. Si necesitas orientaci¨®n sobre dispositivos espec¨ªficos de Áú»¢¶·ÔÚÏß, contacta a nuestro equipo de soporte.

  Ataque de modo de instalaci¨®n

Al configurar nuevos lectores y controladores, algunos dispositivos compatibles con el OSDP activan autom¨¢ticamente el "Modo de Instalaci¨®n". Durante ese proceso de configuraci¨®n, el lector solicita al controlador una clave base gen¨¦rica. Una vez que se establezca la conexi¨®n y el dispositivo est¨¦ en l¨ªnea, se reanuda la comunicaci¨®n encriptada. Sin embargo, los investigadores descubrieron que si el modo de instalaci¨®n no est¨¢ desactivado, los actores de amenazas pueden interceptar y actuar en nombre de un dispositivo para solicitar una nueva clave. As¨ª podr¨ªan acceder a tu sistema y a tus datos.

?Qu¨¦ puedes hacer para mitigar este riesgo?

  Descubre c¨®mo los productos Áú»¢¶·ÔÚÏß, Mercury y Axis son seguros

No todos los dispositivos con el OSDP tienen el Modo de Instalaci¨®n activado por defecto durante la configuraci¨®n. Los productos de Áú»¢¶·ÔÚÏß como Synergis Cloud Link o Roadrunner, as¨ª como los ¨²ltimos dispositivos Mercury y Axis, requieren que los instaladores habiliten el Modo de Instalaci¨®n a trav¨¦s de una tarjeta de configuraci¨®n o una aplicaci¨®n. Una vez a?adido un lector, estos controladores tambi¨¦n saldr¨¢n autom¨¢ticamente del Modo de Instalaci¨®n. Esto anula esta vulnerabilidad y mantiene tu sistema y tus datos seguros.

  • Siempre es recomendable activar el Modo de Instalaci¨®n s¨®lo cuando puedas controlar o confiar en todo el canal.
  • Otro consejo de mitigaci¨®n es aprovisionar por separado las claves del lector y el controlador. Si el lector no est¨¢ en Modo de Instalaci¨®n, el controlador no enviar¨¢ la clave a trav¨¦s del OSDP. Una vez activado el Canal Seguro, el controlador intentar¨¢ conectarse de forma segura utilizando la clave. Nota: No todos los dispositivos soportan esta funci¨®n.
 

  Ten en cuenta qu¨¦ hacer si tus dispositivos activan el Modo de Instalaci¨®n por defecto

Como mencionamos anteriormente, Áú»¢¶·ÔÚÏß Synergis Cloud Link o Roadrunner, as¨ª como los dispositivos Mercury y Axis, no entran en esta categor¨ªa. Con todos estos controladores, el Modo de Instalaci¨®n debe activarse manualmente. Una vez configurado el lector, el dispositivo saldr¨¢ autom¨¢ticamente del Modo de Instalaci¨®n. Sin embargo, si tienes otros dispositivos en los que el Modo de Instalaci¨®n est¨¢ activado por defecto, aqu¨ª tienes algunos consejos que debes tener en cuenta:

  • Conc¨¦ntrate en una implementaci¨®n segura. Una vez instalado el dispositivo, aseg¨²rate de cambiar el Modo de Instalaci¨®n de ENCENDIDO a APAGADO para todos tus dispositivos con el OSDP.
  • Algunas de estas marcas de dispositivos pueden tener la capacidad de desactivar autom¨¢ticamente el Modo de Instalaci¨®n despu¨¦s de un cierto per¨ªodo de tiempo. Tambi¨¦n pueden ofrecer funcionalidades de reporte que te indiquen qu¨¦ dispositivos permanecen con el Modo de Instalaci¨®n activado para identificar r¨¢pidamente los dispositivos vulnerables.
  • Si tienes un dispositivo que pasa autom¨¢ticamente al Modo de Instalaci¨®n, ponte en contacto con tu proveedor de control de acceso para identificar otras medidas de seguridad integradas que puedan ayudarte a garantizar que el Modo de Instalaci¨®n nunca se quede activado.

  Claves de encriptaci¨®n d¨¦biles

Aunque es poco frecuente, algunas marcas de dispositivos pueden utilizar claves de encriptaci¨®n d¨¦biles para las sesiones de comunicaci¨®n. Los investigadores hicieron esta especulaci¨®n despu¨¦s de encontrar una clave gen¨¦rica codificada en una biblioteca OSDP de c¨®digo abierto. Como estas claves suelen estar formadas por compilaciones familiares y sencillas, fueron capaces de generar 768 posibles claves codificadas. ?La amenaza? Los ciberdelincuentes podr¨ªan hacer lo mismo, utilizando estas claves d¨¦biles para lanzar ataques de fuerza bruta e intentar acceder a tu sistema.

?Qu¨¦ puedes hacer para mitigar este riesgo?

  Cambia las claves codificadas durante la instalaci¨®n

Esta vulnerabilidad tiene que ver de nuevo con la implementaci¨®n efectiva de los dispositivos. Si tienes dispositivos que utilizan claves gen¨¦ricas codificadas, tendr¨¢s que cambiarlas por claves ¨²nicas y aleatorias.

  Elije dispositivos verificados con el OSDP

Estos productos han sido probados y verificados por la SIA para cumplir las normas del OSDP. Estos cuentan con muchas funcionalidades de seguridad como el soporte de claves AES-128 ¨²nicas y generadas aleatoriamente para tu dispositivo con el OSDP. Aseg¨²rate de consultar con tu proveedor para saber si esta funcionalidad est¨¢ activada por defecto o si debes configurarla manualmente.

  Conoce los dispositivos Áú»¢¶·ÔÚÏß

Nuestras soluciones nunca utilizan claves codificadas. Independientemente de que tengas Synergis Cloud Link o Synergis Cloud Link Roadrunner, recibir¨¢s claves AES-128 generadas aleatoriamente para cada dispositivo o tendr¨¢s la posibilidad de configurar tus propias claves seguras.

  Retorno a Modo de Instalaci¨®n

La ¨²ltima vulnerabilidad consiste en hacer que un dispositivo vuelva al Modo de Instalaci¨®n. Los investigadores explicaron c¨®mo los hackers pod¨ªan instalar un dispositivo de escucha encubierto en el cableado RS485 de un lector de control de acceso existente y manipular el dispositivo hasta el punto de tener que sustituirlo. Cuando el nuevo lector se conecte, el dispositivo de escucha podr¨¢ capturar la clave de encriptaci¨®n durante el Modo de Instalaci¨®n. Los hackers podr¨ªan entonces imitar al lector para robar informaci¨®n cr¨ªtica. 

?Qu¨¦ puedes hacer para mitigar este riesgo?

  Toma en serio las alarmas de los dispositivos

Si un dispositivo se desconecta o da problemas continuamente, s¨¦ diligente con tu evaluaci¨®n y asume la posibilidad de una amenaza. Tambi¨¦n puedes consultar los reportes de estado de los dispositivos en Security Center para revisar las alarmas de un dispositivo espec¨ªfico. Esto puede ayudarte a identificar eventos o patrones sospechosos, que pueden revelar un intento de violaci¨®n de seguridad.

  Utiliza un cableado provisional durante la instalaci¨®n

Si se ha instalado un dispositivo de escucha en tu cableado RS485, usa un cableado provisional desde el nuevo lector al controlador durante el emparejamiento de dispositivos para mitigar este riesgo. Esto te permitir¨¢ iniciar de forma segura la conexi¨®n del dispositivo y proceder con la comunicaci¨®n encriptada para finalizar la instalaci¨®n.

Una lista de comprobaci¨®n para el refuerzo de OSDP y lo que viene de Áú»¢¶·ÔÚÏß

Las amenazas a la ciberseguridad evolucionan constantemente. Estas vulnerabilidades OSDP demuestran lo importante que es no s¨®lo elegir los dispositivos m¨¢s ciberseguros, sino tambi¨¦n seguir las mejores pr¨¢cticas recomendadas para defenderse ante las amenazas.

A continuaci¨®n te compartimos una r¨¢pida lista con las mejores formas de defenderse hoy, contra las amenazas del OSDP:

  1. Elije dispositivos verificados con el OSDP
  2. Activa el modo Canal Seguro para todos tus dispositivos
  3. Sigue las recomendaciones del OSDP en las gu¨ªas de instalaci¨®n y endurecimiento cibern¨¦tico
  4. Configura claves de encriptaci¨®n no comunes para tus dispositivos
  5. Activa el Modo de Instalaci¨®n s¨®lo cuando puedas confiar en todo el canal
  6. Si el Modo de Instalaci¨®n est¨¢ activado por defecto en tu dispositivo, sal del Modo de Instalaci¨®n despu¨¦s de la instalaci¨®n del dispositivo (recomendaci¨®n espec¨ªfica del dispositivo)
  7. Instala nuevos lectores mediante una conexi¨®n directa al controlador
  8. Comprueba tu ¨ªndice de seguridad y sigue las mejores pr¨¢cticas
  9. Comprueba las alarmas de los dispositivos y extrae reportes para identificar problemas mayores
  10. Recurre a proveedores de confianza para obtener soporte y orientaci¨®n adicionales
 

Compartir contigo estos consejos es s¨®lo el principio. En Áú»¢¶·ÔÚÏß, tambi¨¦n estamos trabajando de forma proactiva con nuestros socios tecnol¨®gicos de control de acceso para identificar y catalogar las capacidades de los dispositivos relacionadas con el OSDP.

Tambi¨¦n estamos buscando nuevas formas de ayudarte a defenderte contra estas vulnerabilidades del OSDP dentro de nuestra plataforma Security Center. Compartiremos m¨¢s informaci¨®n en cuanto est¨¦ disponible. Mientras tanto, si tienes alguna duda o necesitas m¨¢s orientaci¨®n, contacta a nuestro equipo de soporte.

 
Compartir
Regresar a Blog

Contenido relacionado

Usa Security Center Synergis? para mejorar tu sistema de control de acceso y defenderte contra las amenazas cibern¨¦ticas
Riesgos de un sistema de control de acceso antiguo

?Tu sistema de control de acceso est¨¢ poniendo en peligro tu infraestructura de seguridad? Conoce el impacto de los sistemas de control de acceso antiguos y aprende a proteger tu organizaci¨®n.

Conoce m¨¢s
Sistemas de control de acceso propietarios versus no propietarios; ?cu¨¢l es la diferencia?
Sistemas de control de acceso propietarios en comparaci¨®n con los no propietarios

Descubre las diferencias entre un sistema de control de acceso propietario y uno no propietario y c¨®mo la arquitectura abierta te ofrece la flexibilidad necesaria para adaptarte a medida que cambian las necesidades de tu organizaci¨®n.

Conoce m¨¢s
?Cu¨¢les son las novedades de la nueva generaci¨®n del Synergis Cloud Link?

La nueva generaci¨®n de gateway IoT con PoE de Synergis? Cloud Link para el control de acceso ya est¨¢ disponible. Este nuevo dispositivo incluye funcionalidades que permiten realizar mejores futuras entregas y proporciona una seguridad mejorada, todo mientras mantiene su factor de forma. Construido sobre una nueva plataforma de hardware innovadora para un mejor soporte de arquitecturas locales, h¨ªbridas o de nube completa.

Conoce m¨¢s
M¨¢s contenido relacionado
Productos
Socios
Recursos
Empresa
Con¨¦ctate con nosotros
? 1997-2025 Áú»¢¶·ÔÚÏß Todos los derechos reservados.
Pol¨ªtica de privacidad | Condiciones de uso | Documentaci¨®n legal | Comunicaciones seguras | Responsabilidad Social Empresarial | Preferencias de cookies y correo electr¨®nico | Preferencias de cookies
²Ñ´Ç°ù±ð¡­