Aprovechando los avances en las tecnologías de la información y la comunicación (TIC), las Smart Cities o ciudades inteligentes llevan años ofreciendo muchos beneficios potenciales a sus residentes, como la mejora de la eficiencia energética, la gestión y la seguridad personal, la movilidad dentro de sus calles y avenidas, etc. Sin embargo, esta dependencia de las TIC también hace que las Smart Cities sean propensas a los ciberataques, como lo son todos los sistemas que, de una forma o de otra, están hoy en día conectados a la red.
Los rápidos avances de las TIC se han aprovechado para racionalizar el diseño, el funcionamiento y gestión de los entornos urbanos de diversas maneras. Por ejemplo, es posible medir el consumo de energía en tiempo real con contadores inteligentes y utilizar esta información para coordinar los recursos de generación y distribución a través de la red de energía inteligente, o Smart Grids, hacer un seguimiento continuo de los atascos y peligros de la carretera y comunicarlo automáticamente a los vehículos y viajeros, o gestionar la iluminación de nuestras calles con sensores automáticos de luminosidad.
Los avances en estos ámbitos han contribuido a reducir costes, aumentar la eficiencia y a una mayor seguridad y comodidad, y a reducir la contaminación y las emisiones de gases de efecto invernadero, y cada día más ciudades del planeta implementan a pequeña o gran escala soluciones basadas en sistemas inteligentes de medida y automatización para mejorar la eficiencia de sus servicios e infraestructuras.
Los ámbitos de actuación de las Smart Cities
De entre las muchas definiciones que encontramos para explicar que entendemos por una ciudad inteligente podriamos decir que “una ciudad inteligente utiliza tecnologías digitales o tecnologías de la información y la comunicación para mejorar la calidad de vida de sus habitantes y de los servicios urbanos, para reducir los costes y el consumo de recursos, así como para interactuar de forma más eficaz y activa con sus ciudadanos. Los sectores que más ampliamente se han desarrollado dentro de las ciudades inteligentes son los servicios públicos, el transporte y la gestión de la ciudad, la energía, la sanidad, el agua y los residuos”.
Para el tema de ciberseguridad y para clasificar las áreas sobre las cuales podríamos hacer un estudio de las posibles amenazas presentes sobre la infraestructura de una Smart City, podriamos dividir a esta en seis componentes clave:
- Sistemas económicos de la ciudad, servicios financieros
- Medio ambiente e infraestructuras de servicios básicos (agua, gas, electricidad, etc.)
- Gobierno, mecanismos de gestión de la ciudad
- Vida urbana, servicios “inteligentes” para el ciudadano
- Movilidad dentro de la ciudad, transporte público y privado
- Personas y todo lo que atañe a la conectividad personal dentro de la ciudad
Es evidente que esta clasificación simplemente es una ayuda para examinar, de forma más o menos organizada, que áreas dentro de la Smart City podrían ser susceptibles de recibir ciberataques y sobre las que deberíamos planificar con mayor detalle mecanismos de protección y seguridad.
Así, por un lado, mientras que muchos de los desarrollos para transformar un servicio o gestión de una infraestructura en “Smart” se han diseñado desde el principio, partiendo desde la no-existencia de sistemas previos que hubiera que adaptar sobre la marcha, en realidad la mayoría de las transformaciones de sistemas en sus contrapartidas “inteligentes” dentro de nuestras ciudades se han producido partiendo de la base en las que ya existían sistemas previos que, simplemente, se han ido adaptando y protegiendo “sobre la marcha”, a medida que nuevos desarrollos de tecnologías TIC se integraban progresivamente en el funcionamiento de las de las zonas urbanas. Como hemos ido viendo en los últimos años, las ciudades pueden convertirse en “inteligentes” adoptando tecnologías modernas para el transporte, el control del tráfico, la respuesta a las catástrofes y la seguridad, la gestión de los recursos y otros aspectos de la gestión urbana, pero estas ciudades no han nacido o se han construido ya sobre la base de un sistema “Smart” con sus mecanismos de protección contra ciberataques, sino que hemos ido añadiendo componentes tecnológicos a los ya existentes que pudieran estar, o no, pensados para resistir intentos de manipulación remota.
Poniendo el foco en proteger los sistemas que hacen “Smart” nuestras ciudades
Nadie discute que estas mejoras en nuestras ciudades son muy valiosas, pero conllevan una serie de riesgos inherentes. Ello suele deberse a que una ciudad inteligente a menudo implica la instalación de muchos sistemas y dispositivos nuevos en condiciones novedosas y, a menudo, sin pruebas de seguridad exhaustivas. Muchas de estas tecnologías son inalámbricas y, por tanto, dependen de protocolos personalizados y plataformas de cifrado. Incluso los errores aparentemente menores pueden causar problemas muy graves, si aquellos que los intentan explotar lo hacen con esa intención.
Aún más preocupante es el hecho de que muchas ciudades inteligentes aún no han desarrollado planes de acción que describan las respuestas a posibles ciberataques dirigidos a los servicios, la infraestructura y las TIC de la ciudad. Dado que todos los sistemas están interconectados, los puntos débiles de un elemento pueden tener amplias consecuencias. Por ejemplo, los problemas de encriptación pueden dar lugar a lograr acceso a una red inalámbrica, que a su vez puede ser aprovechada por hackers para atacar la electricidad o el suministro de agua, como sucedió hace unos meses en la ciudad de Florida, donde se intentó manipular (remotamente, con un ciberataque) la cantidad de productos químicos presentes en el agua de la ciudad a niveles peligrosos para el consumo humano. Está claro que las ciberamenazas a las ciudades inteligentes deben tomarse muy en serio, si es que vamos a seguir desarrollando nuestras urbes hacia sistemas cada vez más interconectados y dependientes de las tecnologías de control remoto.
Y es que, como ya podemos imaginar, es un tema que sigue creciendo. Según estimaciones del sector, a finales de 2020 había 8740 millones de dispositivos conectados a internet, en lo que se conoce como el Internet de la Cosas (IoT), y, al ritmo de crecimiento al que vamos, llegaremos a los 25.000 millones para el año 2030. A nivel demográfico, proyecciones de Naciones Unidas indican que se espera que el 70% de la población mundial viva en entornos urbanos en el año 2050. El rápido crecimiento de la población urbana en el mundo, así como la creciente interconexión de esta población, hacen que la ciberseguridad de las ciudades sea increíblemente importante, y la situación será aún más apremiante con la introducción de dispositivos e infraestructuras cada vez más inteligentes y conectados.
Cuando todo puede accederse a través de todo
Una gran variedad de sistemas, que van desde los electrodomésticos a los dispositivos médicos en los hospitales hasta los sistemas de defensa aérea, podrían verse afectados por un único ciberataque que tenga como objetivo la red energética. Puesto que las armas elegidas en esta época moderna ya no suelen ser bombas, sino malware diseñado para destruir, interrumpir o tomar el control de los complejos sistemas que controlan el funcionamiento de las redes inteligentes, los responsables de seguridad ya no solo han de planificar defensas contra posibles ataques “físicos”, sino que la balanza se inclina a trabajar y desarrollar, cada vez más, defensas contra ataques cibernéticos. Además, la inmensa complejidad y escala de una ciudad inteligente significa que estos problemas deben abordarse lo antes posible, y que, en las ciudades existentes, hay que abordar este tema antes de que sea demasiado tarde para incorporar medidas de ciberseguridad adecuadas, tanto porque ya se hayan producido ataques o porque diferentes grupos de ciberdelincuentes ya hayan “examinado a conciencia” las debilidades de algunas de las infraestructuras críticas de nuestras Smart Cities.
En general, los analistas de seguridad comparten la opinión de que el panorama de las ciberamenazas es extremadamente fluido. En los últimos años se ha producido un crecimiento exponencial del número de amenazas potenciales y la naturaleza específica de las mismas también está evolucionando y aumentando en sofisticación. Las amenazas persistentes avanzadas (APT), en las que una entidad no autorizada consigue y mantiene el acceso a una red, es un buen ejemplo de esta tendencia. En muchos casos, los atacantes ya no son “chiquillos” jugando desde un garaje a ver si entran en un servidor para probar su destreza, sino profesionales altamente cualificados y organizados que son capaces de desplegar una variedad de técnicas sofisticadas para lanzar ataques complejos y coordinados.
Así, ejemplos de ciberamenazas conocidas que toda Smart City debe tener en cuenta a la hora de proteger sus sistemas pasan por tener presente a:
- Hackers, individualmente o en grupos altamente organizados
- Malware, que alcanzan en ocasiones niveles de sofisticación no vistos en ataques anteriores
- Vulnerabilidades Zero Day, de los nuevos sistemas que se desarrollen y que no hayan sido suficientemente probados
- Botnets, que generen automáticamente intentos de entrar y atacar un punto débil de un servicio o instalación
- Negación de servicio (DOS), que causen sobrecarga en los sistemas
- Denegación de servicio distribuida (DDOS), lo mismo que lo anterior, incrementando el potencial destructivo del ataque
Teniendo en mente lo anterior, y con las diferentes áreas de acción en las que podemos dividir una Smart City a la hora de planificar sus mecanismos de protección frente a ciberataques, algunos de los posibles puntos débiles que la mayoría de nuestras urbes presentan hoy en día, y que pueden ser susceptibles de mayores intentos de ciberataques son:
- Los sistemas de control de tráfico
- El alumbrado público inteligente
- Los sistemas de gestión de la ciudad
- Los sensores IoT desplegados por toda la ciudad
- Los datos públicos, ubicados en bases de datos y servidores con medidas de seguridad insuficientes
- Las aplicaciones móviles
- Las soluciones en la nube y de software como servicio (SaaS)
- La red eléctrica inteligente
- El transporte público
- Las cámaras de vigilancia
Un ejemplo de acceso a estos sistemas puede darse a través de un ataque a los miles de sensores que forman la columna vertebral de la ciudad inteligente. Con la manipulación adecuada de los datos de estos, los atacantes podrían fingir un terremoto, problemas en un túnel o la rotura de un puente, hacer creen que existe una inundación, hacer malfuncionar sensores de fuego, etc., haciendo saltar las alarmas y provocando el pánico general. Un atacante podría lanzar un ataque falsificando los datos de los sensores de olor, contaminación o del nivel de basura en los contenedores vacíos, para hacer que los recolectores de basura pierdan tiempo y recursos. Hay que tener en cuenta que muchos sistemas y servicios de las ciudades se basan en sensores, incluyendo la gestión inteligente de los residuos y del agua, el aparcamiento inteligente, el control del tráfico y el transporte público. Hackear los sensores inalámbricos es una forma fácil de lanzar ciberataques a distancia sobre la infraestructura crítica de una ciudad.
Planificar la ciberseguridad desde el inicio
Por lo tanto, no hay que subestimar la importancia de un proceso de selección de tecnologías estructurado y bien pensado de seguridad contra ataques. En particular, hay que destacar que las cuestiones de ciberseguridad deben tenerse en cuenta desde la primera fase de transformación de una urbe en una Smart City. En el contexto de una ciudad inteligente, todos los sistemas son interdependientes y los sistemas débiles pueden causar daños a gran escala e incluso afectar a la estabilidad y seguridad de toda una región, o un país.
Una ciudad inteligente requiere nuevos niveles de confidencialidad, integridad, disponibilidad y defensa. Todas las comunicaciones alámbricas e inalámbricas (los datos en tránsito) deben estar debidamente protegidas con una fuerte encriptación. La solución debe soportar un fuerte mecanismo de autentificación (contraseñas de un solo uso, autentificación basada en certificados o biometría, etc.).
Toda la funcionalidad debe requerir y aplicar los permisos adecuados (autorización) antes de realizar cualquier acción. Las actualizaciones de software, firmware, etc. deben ser automáticas y seguras. Los registros también deben guardarse de forma segura contra cualquier alteración de estos. Los dispositivos deben tener un mecanismo para evitar la manipulación por parte de fuentes no autorizadas. En caso de que el sistema funcione mal o se caiga, este debe seguir siendo seguro y las protecciones deben seguir ejecutándose. Las soluciones deben venir con una configuración segura por defecto.
Por otro lado, para la implantación de nuevas soluciones y mejoras tecnológicas, la tecnología debe pasar en la fase de selección una robusta prueba de seguridad, así como debe ser entregada de forma segura y permitir una fuerte encriptación. Una administración del sistema, que permita establecer contraseñas seguras, eliminar cuentas de usuario innecesarias, desactivar las funciones y servicios que no se utilicen, habilitar la auditoría de los eventos de seguridad, etc., es fundamental. Para el funcionamiento y el mantenimiento, la tecnología debe pasar la supervisión de sus parches y actualizaciones, evaluaciones y auditorías periódicas, protección del entorno de registro, control de acceso, inteligencia de ciberamenazas, reacción y recuperación de elementos comprometidos, etc.
Finalmente se han de tener en cuenta algunas recomendaciones para la eliminación de la tecnología que ya no se vaya a usar o haya quedado obsoleta. Debemos evitar la reutilización de sistemas que provengan de otras instalaciones anteriores, y todos los datos deben ser borrados de forma segura.
En conclusión
El ámbito de la ciberseguridad de las ciudades inteligentes está aún en sus inicios, y se prevén muchas más soluciones políticas, arquitectónicas y de diseño de técnicas de seguridad en este ámbito tan importante. Con esto en mente, y tal como comenta el experto en seguridad Eugene Kaspersky:
“Las tecnologías inteligentes y la interconectividad deberían mejorar la vida en todo el mundo. Pero con todas las oportunidades que crean, es un reto impedir que personas no autorizadas se aprovechen de ellas. Estamos convencidos de que es posible superar este reto, pero requiere un gran esfuerzo por parte de los gobiernos, los desarrolladores de software y las empresas de seguridad informática. Estamos empezando a recorrer este camino, pero debemos seguirlo para construir, en última instancia, un mundo digital seguro para todos”.
