Según me cuentan desde ESET, en la presentación, Alberto ha demostrado cómo sería perfectamente posible desde obtener abonos con el descuento de usuarios de la tercera edad, ahorrándonos una importante suma de dinero, hasta acceder al circuito de cámaras de videovigilancia de la red de transportes.
La mayoría de vulnerabilidades que se han presentado consisten en fallos de diseño que pueden ser aprovechados por un atacante externo tanto en un ataque físico como remoto. La parte más técnica ha recaído en cómo acceder remotamente a los terminales utilizando las características de DNS.
ESET subraya que el punto álgido de la presentación ha venido cuando ha enseñado cómo desde un terminal de compra de billetes de RENFE se puede acceder al sistema embebido que incorpora versiones obsoletas de Windows XP. Una vez conseguido este acceso, que incluye permisos de administrador, se pueden conseguir datos tan críticos como un volcado de las tarjetas de crédito usadas para adquirir los billetes en ese terminal.
