Principales vulnerabilidades de ciberseguridad en Smart Cities

By Instituto IDHUSOn enero 9, 2022agosto 7, 2022

A lo largo y ancho de nuestra geografía, y a un ritmo creciente, muchas ciudades llevan varios años apostando e incorporando nuevas tecnologías a sus infraestructuras. En el último lustro, la velocidad de adopción de esta ha aumentado, y muchas urbes son cada vez más “inteligentes”. Tecnologías relacionadas con la gestión de datos, el almacenamiento y la captación de estos, junto con una conectividad más rápida, permiten a las metrópolis optimizar sus recursos, ahorrar dinero y, al mismo tiempo, ofrecer mejores servicios a sus ciudadanos.

De hecho, la mayoría de nosotros, cuando nos levantamos para iniciar un día normal de trabajo, echamos normalmente un vistazo al móvil y empezamos a buscar en diferentes aplicaciones para elegir la mejor alternativa para ir a la oficina o a la escuela. Comprobamos los horarios y los retrasos de los trenes, los autobuses y el metro. También comprobamos de paso la temperatura, el nivel de contaminación y las condiciones meteorológicas del día.

Como ya podemos imaginar, para que podamos recibir toda esa información se necesitan sensores por todas partes que alimenten los sistemas de la ciudad, y es necesario que éstos envíen los datos a las aplicaciones móviles a través de los servidores de la infraestructura ICT de la urbe.

Supongamos entonces que optamos por ir en coche, ya que hay un retraso en el transporte público y/o es un día lluvioso. De camino al trabajo, y en tiempo real, comprobamos de nuevo la mejor ruta para evitar el colapso de las calles principales y consultamos otra aplicación para seleccionar el aparcamiento en función de la disponibilidad y el precio. La fluidez del tráfico por la ruta indicada es buena gracias a los sistemas inteligentes de control que ajustan los semáforos en función de las condiciones actuales de congestión de vehículos. En caso de lluvia, el alumbrado público inteligente deja las luces de la calle encendidas hasta que haya más luz natural, y, si la lluvia provoca inundaciones, los sensores de detección alertan inmediatamente a la administración de la ciudad, y también a los ciudadanos, para que se puedan tomar las medidas necesarias, redirigir el tráfico, o llamar a los bomberos. Puesto que los equipos de gestión municipal controlan de cerca toda la ciudad con la ayuda de cámaras de vigilancia, esta monitorización no supone mayores problemas, y, aunque la lluvia provoca retrasos en el transporte público, la información sobre estos inconvenientes se difunde para que los ciudadanos puedan elegir otras alternativas de transporte.

Básicamente, y por concluir con el ejemplo, es gracias a toda la tecnología “inteligente” implementada en las Smart Cities que está cambiando significativamente la vida de las personas que vivimos en áreas metropolitanas.

¿Qué servicios convierten una urbe en una Smart City?

En realidad, las tecnologías que están detrás de los ejemplos anteriores son básicamente las mismas en todos los ámbitos (comunicaciones móviles de última generación, redes inalámbricas de corto y largo alcance, Internet de las Cosas, blockchain, algoritmos de inteligencia artificial, etc.), pero, aplicadas a los principales servicios de la ciudad, y consiguiendo que estos operen de forma más eficiente y coordinadamente entre sí, la mayoría de Smart Cities han implementado servicios como:

Control inteligente del tráfico: Semáforos y señales que se adaptan en función de las condiciones actuales del tráfico. Se detecta el volumen de vehículos actual de la vía y esa información en tiempo real se utiliza para coordinar y mejorar el flujo de la circulación en calles, carreteras, avenidas, etc.
Aparcamiento inteligente: Los residentes de la urbe pueden utilizar una aplicación para encontrar plazas disponibles, revisar los precios, la disponibilidad, la ubicación, etc. Todo gestionado a través del smartphone y centralizado en un servicio municipal de gestión de las áreas privadas y públicas de parking.
Alumbrado público inteligente: Gestionado de forma centralizada, el alumbrado público puede adaptarse a las condiciones meteorológicas, informar de problemas o automatizarse según la hora del día. Las luces de la calle pueden incluso apagarse y encenderse en función de la detección de coches y personas en movimiento, lo que promueve un ahorro del consumo energético, un uso más eficiente del mismo y una regulación en función de las necesidades reales de la ciudad.
Transporte público inteligente: Posiblemente es uno de los servicios más implantados gracias al cual se proporcionan datos en tiempo real sobre los horarios (autobús, tren, metro, etc.), las llegadas y los retrasos, averías o disrupciones en el servicio. La eficiencia del transporte público es, de alguna forma, la medida principal por la que muchos habitantes de la ciudad evalúan la calidad de los servicios de la urbe y la que más queja suscita si no funciona correctamente.
Gestión inteligente de la energía: Una red inteligente o Smart Grid puede suministrar energía en función de las necesidades de los consumidores, gracias a que, los contadores inteligentes, pueden hablar con la red de distribución para programar el suministro de energía en un momento determinado y con un coste menor. La red inteligente puede incluso apagar el calentador de agua de casa durante las horas punta, cuando la electricidad es más cara. Usando estos mismos principios, los edificios inteligentes utilizan el mismo tipo de técnicas para conservar la energía y comprar electricidad cuando las tarifas son menores.
Gestión inteligente del agua: Las tuberías inteligentes miden la calidad del agua gracias a múltiples sensores presentes en ellas, detectan fugas, distribuyen el recurso hídrico, detectan problemas o posibles fallos en el sistema de cañerías, etc. Se utilizan técnicas similares para las tuberías de gas y petróleo, pero, en las ciudades, es crítico que esta gestión del agua se haga de la forma más eficiente posible para garantizar el suministro a toda la población sin desperdiciar el caudal disponible.
Gestión inteligente de los residuos: Este es otro de los servicios que existen ya en muchas urbes y que mejora la gestión de residuos de estas. Su uso pasa por instalar sensores en los contenedores de basura que detectan el volumen, el olor, etc. Con ello, la recogida de basuras puede planificarse mejor, omitiendo los contenedores vacíos o haciendo una parada anticipada en un contenedor que huela mal.
Sistemas de seguridad: Las cámaras de tráfico y vigilancia se han vuelto “inteligentes”, gracias a los programas que analizan los datos que estas recogen, así como gracias a sensores de detección de intrusismo en vivienda, fábricas, almacenes, etc. Dispositivos de seguridad repartidos por la ciudad proporcionan información en tiempo real sobre lo que ocurre y dónde. La tecnología de recuento de personas, como el seguimiento de los teléfonos móviles o la comunicación (como el Wi-Fi o el Bluetooth), se utiliza para determinar el número de personas que hay en una zona determinada, como una calle, un parque o un edificio. Obvia decir que muchos gobiernos usan esta misma tecnología y función para el reconocimiento facial y la monitorización de la población a escala masiva.

Por otro lado, para que todos los servicios anteriores funcionen, es necesario que diferentes componentes tecnológicos estén desarrollados e implementados con las suficientes garantías de funcionamiento y medidas de seguridad, pues, detrás de la gestión inteligente de todo lo que hemos comentado, se encuentran una serie de elementos que forman el sustrato tecnológico básico para dar servicio a toda la urbe:

Procesos y programas M2M (Machine to Machine): Para que una ciudad sea más inteligente se necesitan dispositivos (máquinas) que hablen entre sí, de sistema a sistema, tomando decisiones automáticamente, y es muy necesario que todos los protocolos de seguridad que regulan el funcionamiento de estos sean robustos y puedan asegurar que los procesos que regulan o ejecutan lo hacen correctamente.
Aplicaciones móviles: En el ecosistema de las Smart Cities, las aplicaciones móviles fomentan la interacción de la gente con la ciudad. Gracias a múltiples apps podemos obtener información de los eventos, servicios, infraestructuras, etc., de la urbe, por lo que, generalmente, son la interfaz que permite darle uso ciudadano a los datos recogidos por los sensores de Smart City.
Sensores: Son los dispositivos que están en la base de la mayoría de los servicios “Smart” y son utilizados para todo. Estos sensores (a menudo inalámbricos) alimentan continuamente los sistemas de las ciudades inteligentes con cantidades ingentes de datos, así que sirven para determinar, entre otras cosas:

- - Estado del tiempo atmosférico: Los sensores detectan las condiciones meteorológicas y envían alertas a los sistemas de seguimiento y monitorización de la ciudad, lo que ayuda a prevenir, por ejemplo, posibles inundaciones o caídas de árboles por fuerte viento.
  - Nivel de contaminación: Los sensores atmosféricos detectan e informan de los niveles de contaminación en distintas partes de una ciudad. Puesto que la calidad del aire de la urbe determina en gran medida el estado de salud de sus residentes, y forma parte de los planes de la mayoría de las ciudades su mejora, este tipo de sensores son imprescindibles en una Smart City.
  - Sísmico: Los instalados en puentes y los sensores subterráneos detectan los daños en los túneles y otras infraestructuras causados por terremotos, sacudidas del terreno, el envejecimiento de las construcciones u otros problemas que requieren de un mantenimiento continuo para asegurar su estado y funcionalidad.
  - Olor: En el caso de la basura, el gas natural y una variedad de otras situaciones, los sensores de olor detectan problemas que necesitan ser tratados con urgencia.
  - Inundaciones: Detectan las condiciones de las inundaciones, dan avisos de alarma cuando los niveles de agua suben por encima de un determinado nivel en determinadas zonas de la ciudad, etc. “Ciudades esponja” que se están planificando en zonas de China, por ejemplo, buscan usar toda el agua de lluvia que tradicionalmente inunda partes de la urbe para el propio beneficio de esta con ayuda de la información sobre precipitaciones recogida por la red de sensores de la metrópolis.
  - Sonido: Los sensores de sonido pueden detectar disparos, alarmas, actividad, etc.

Problemas de ciberseguridad en Smart Cities

Sin embargo, cada nueva innovación trae consigo nuevos retos y problemas. Teniendo en cuenta los servicios que hemos visto anteriormente ¿Qué podría ocurrir si uno o más de estos servicios dependientes de una de esas tecnologías no funcionará? ¿Cómo serían los desplazamientos con sistemas de control de tráfico que no regularan correctamente, sin alumbrado y sin transporte público? ¿Cómo responderían los ciudadanos a un suministro inadecuado de electricidad o agua, calles oscuras y sin cámaras? ¿Y si la recogida de basuras se interrumpe en verano y apesta en las calles?

Estos escenarios son parte de las peores pesadillas de los técnicos de gestión de una urbe. Y, para prevenirlos, es necesaria una serie de sistemas de protección contra ciberataques y fallos de seguridad sobre las mismas. Así que, ¿Qué podría desencadenar que ciberataques sobre la infraestructura de la Smart City tuvieran éxito en causar disrupción en sus servicios? Veamos algunos de los puntos más importantes.

Seguridad escasa o inexistente y falta de pruebas sobre la resistencia de sistemas frente a ciberataques. La mayoría de los proveedores de soluciones tecnológicas para Smart Cities ejecutan una serie de pruebas sobre el funcionamiento correcto de sus sistemas antes de implementarlos. Se comprueba que los sensores recogen adecuadamente las medidas oportunas, que las comunicaciones de red funcionan correctamente, que los datos se reciben sin distorsión, etc. Sin embargo, no suelen ejecutarse simulaciones y pruebas de resistencia ante ciberataques, que van dirigidos principalmente contra elementos de las redes IoT pues el coste, a veces, de poner unos cuantos sensores es muy económico, pero proveerlos de capacidades de resiliencia frente a posibles manipulaciones remotas incrementa su precio. Dentro de los parámetros y decisiones que se toman en la implementación de este tipo de sistemas, el coste-beneficio predomina a veces sobre la seguridad, cubriendo simplemente unos mínimos requerimientos pero que pueden no ser suficientes para grupos de hackers experimentados que conocen como explotar debilidades en el software de control de muchos de estos dispositivos.
Problemas de encriptación. La mayoría de los nuevos dispositivos son inalámbricos (como las cámaras de tráfico y vigilancia, los contadores inteligentes, las farolas, los semáforos, las tuberías inteligentes, los sensores climáticos, etc.), lo que hace que sean fáciles de implementar, pero también fáciles de hackear si la comunicación no está debidamente cifrada. La comunicación por cable requiere acceso físico, lo que generalmente hace más difícil su pirateo, aunque también algunos sistemas que dependen de la comunicación por cable están expuestos y son más fáciles de acceder, como las tecnologías de comunicación por línea eléctrica (PLC). Un atacante se podría conectar a la línea eléctrica para acceder a la red y, desde la misma, tener acceso a manipular los sistemas de red inteligente y alumbrado público que utilizan esta tecnología. Por la misma razón que en el punto anterior, algunos proveedores implementan protocolos de comunicación inalámbricos y por cable personalizados con una seguridad muy pobre o nula. Incluso cuando se implementa el cifrado en las comunicaciones inalámbricas y por cable, este puede consistir en algoritmos de encriptación obsoletos y débiles. En otros casos se implementa una encriptación estándar conocida, pero con una gestión de claves de encriptación débil. Los problemas de encriptación más comunes están relacionados con esta generación deficiente de claves, con contraseñas fijas que se mantienen tal y como vienen de fábrica, claves compartidas entre usuarios, contraseñas y claves de encriptación filtradas, etc. Como ya imaginamos, una vez que una clave de cifrado se ve comprometida, los atacantes obtienen pleno acceso a las comunicaciones y, cuando la seguridad de las comunicaciones, tanto inalámbricas como por cable, es deficiente, un atacante puede interceptar y secuestrar fácilmente los sistemas y tomar el control de los dispositivos y las redes.
Problemas de despliegue de parches contra vulnerabilidades y defectos. El despliegue de los parches y actualizaciones del sistema se enfrenta a muchos problemas de seguridad. Debido a la complejidad de estos, y a la alta actualización de muchos controladores de dispositivos IoT, es difícil y costoso probar todos los parches en sistemas que no son de producción, ya que entornos de prueba idénticos al entorno real son caros de reproducir. Cada vez es más frecuente encontrar que se implementan soluciones “Smart” con dispositivos y sistemas fáciles de ser ciber atacados, porque se tarda en publicar y actualizar parches contra defectos o vulnerabilidades que van apareciendo o éstos no están disponibles.
Sistemas heredados inseguros. Las nuevas tecnologías se están integrando con tecnología antigua ya existente que puede ser vulnerable. Algunas soluciones tecnológicas que han sido estándar en los últimos años para la implementación y gestión de servicios municipales carecen de estándares contra ciberataques, porque en el pasado no era un tema tan importante. Ahora, sin embargo, puede ser necesario instalar elementos que permitan la comunicación entre los sistemas antiguos y los nuevos y que sean necesarios para traducir los protocolos operativos de ambos. Algunos sistemas instalados en las ciudades no funcionan (aún) con sistemas operativos más nuevos y seguros, y como es muy costoso actualizar toda una red informática y miles de servidores y ordenadores en la urbe, se siguen utilizando sistemas operativos vulnerables y antiguos. Esto añade complejidad, aumenta la vulnerabilidad a ataques y hace que la adopción de nuevas tecnologías sea más lenta.
Susceptibilidad a la denegación de servicio. Con tantos servicios que dependen de la tecnología en una ciudad, los posibles atacantes tienen muchos métodos para abusar de ellos, causando, como estrategia más común, una denegación de servicio (DoS) que puede llegar a bloquear por completo el funcionamiento de cualquiera de los servicios de la ciudad. Un ataque DoS podría interrumpir un servidor que alimenta de datos a sistemas de control del tráfico, por ejemplo, o los servicios de monitorización de la calidad del agua, o los sistemas de gestión del Smart Grid de la ciudad. Es cuestión de que los técnicos de gestión de la urbe tengan siempre planes de contingencia preparados para poder defenderse de este tipo de ciberataques, conozcan los puntos débiles por donde podrían producirse, y la ciudad cuente con mecanismos de resiliencia que puedan ser usados en caso de que alguno de sus sistemas críticos se vea amenazado o malfuncione.

En resumen

Si la ciberseguridad es un tema que preocupa a empresas y particulares, porque ponen en jaque el normal funcionamiento de nuestros negocios, trabajos u sistemas informáticos personales, a la hora de extrapolar los mecanismos de protección a una ciudad la situación se hace mucho más compleja. Igual que cada uno de nosotros vigila que su portátil y smartphone estén seguros y protegidos, los técnicos de gestión de una Smart City deben vigilar que todos los sistemas informáticos de esta lo estén a su vez, porque el impacto que un ataque tiene es muchísimo más grande y peligroso que una simple brecha en un ordenador personal de una única persona o un negocio. Todos los servicios de una ciudad que se basan en la gestión tecnológica de sus sistemas de funcionamiento requieren de un análisis contra ciberataques antes de ser implementados, y deben ser probados y evaluados con regularidad, actualizando el software y programas de control de estos a medida que se vayan detectando vulnerabilidades o brechas que comprometan el sistema.

La seguridad de estos servicios es la seguridad de todos los habitantes de la ciudad, y su buen funcionamiento y protección es lo que marca la diferencia, en muchos casos, entre una ciudad “parcheada” tecnológicamente o una ciudad “Smart” y funcional al completo.

Related Posts

Parámetros de ciberseguridad a tener en cuenta para una red eléctrica inteligente

14 tipos de ciberataques a los que puede enfrentarse una ciudad inteligente

Ciberseguridad en Smart Cities- cuando las oportunidades de mejora presentan también vulnerabilidades en los sistemas tecnológicos que las hacen funcionar