Regreso a los 90: cómo estándares de comunicación obsoletos convirtieron a los centros de negocios en presa fácil para los hackers
La seguridad de la infraestructura crítica se ha convertido en una mera formalidad.
Décadas después de su aparición, el protocolo LonTalk sigue funcionando dentro de los sistemas de automatización de edificios, aunque muchos lo consideran una tecnología del pasado. El equipo Team82 decidió comprobar qué papel desempeña hoy y qué riesgos conlleva en la era de la conexión generalizada de los BMS a redes IP.
El protocolo LonTalk fue desarrollado por la empresa Echelon a principios de la década de 1990 como un medio universal de intercambio de datos entre dispositivos de automatización. El estándar recibió la denominación CEA-709 e ISO/IEC 14908. En esa época permitió a distintos fabricantes unir controladores y sensores en una única red sin interfaces cerradas. Con el tiempo el mercado se desplazó hacia BACnet; sin embargo, LonTalk todavía está oculto dentro de muchas implementaciones propietarias.
Inicialmente los sistemas funcionaban mediante conexiones seriales y circuitos integrados especializados Neuron Chip, que unían funciones de procesamiento de aplicaciones, gestión de red e intercambio de paquetes. En 2025 se retiró oficialmente de producción la gama de esos chips. Al mismo tiempo, la pila del protocolo sigue viva en la implementación por software de la empresa EnOcean, y el apoyo a los estándares y la compatibilidad lo proporciona la organización LonMark. Las soluciones modernas integran las redes antiguas LonWorks en infraestructuras IoT y edge.
LonTalk puede funcionar por par trenzado, por líneas de alimentación y por radio. Más tarde apareció la variante CEA-852, que trasladó el protocolo al entorno IP. Además de la transmisión de datos, admite diagnóstico, configuración de nodos y gestión de routers. Los dispositivos intercambian variables de red que describen la temperatura, la velocidad del ventilador o el estado de ocupación. Para unificar los tipos de datos se emplean los estándares SNVT, lo que facilita la interoperabilidad entre equipos de distintas marcas.
Un escenario típico es el intercambio de parámetros entre un controlador HVAC y un servidor BMS. El controlador envía la temperatura actual, el servidor devuelve el valor objetivo. Ese mecanismo se ha utilizado durante décadas en el sector inmobiliario comercial, el comercio minorista, los hoteles y los centros de datos.
La transición a IP amplió las posibilidades de integración, pero al mismo tiempo aumentó la superficie de ataque. CEA-852 admite el registro de dispositivos, la gestión de canales y la estadística, y también introduce tipos de paquetes de proveedor para la administración de gateways. Estos comandos pueden influir en la configuración de toda la red BMS, lo que crea riesgos adicionales cuando la protección es débil.
Team82 examinó la disponibilidad de controladores a través del servicio CENSYS y encontró más de mil dispositivos EnOcean y más de doscientos dispositivos Loytec abiertos en internet. Muchos de ellos usan los puertos estándar 1628 y 1629; parte funcionan con claves MD5 preinstaladas o sin mecanismos de protección. En tal caso, el protocolo obsoleto se convierte en un posible punto de entrada para actores malintencionados.
Los autores del informe pretenden estudiar en detalle la implementación de CEA-852 en gateways reales de EnOcean y Loytec, para evaluar la resistencia de los BMS modernos frente a ataques que aprovechen el legado de LonTalk.