Ciberpirata acecha ciudad inteligente

Los ciberataques también fijan la mira en las ciudades inteligentes

Una ciudad inteligente será mucho más productiva, transparente y participativa si extrema sus medidas de ciberseguridad frente a ataques o cualquier fallo tecnológico

Eran las 23:40 del 7 de abril cuando los habitantes de Dallas se vieron sobresaltados por unas sirenas que sólo se activan en caso de tornados o fuertes tormentas. A pesar del cielo despejado de aquella noche, esas 155 alarmas repartidas por toda la zona metropolitana no pararon de sonar durante casi dos horas, lo cual desencadenó cierto caos entre la población. Al mediodía siguiente llegó la versión oficial de lo ocurrido: "El sistema de sirenas de la ciudad fue hackeado el viernes por la noche". ¿La seguridad de las ciudades inteligentes está en entredicho?

  • Tecnología insegura y fácil de hackear

Mantener a raya a los hackers se hace más complicado a medida que las smart cities amplían su catálogo de servicios. César Cerrudo, CTO de la firma de seguridad IOActive Labs y miembro fundador de Securing Smart Cities asegura que de momento tan sólo se han registrado "casos aislados" de ataques, lo cual no impide que aumenten y se vuelvan más comunes. En su opinión, la mayor parte de las tecnologías usadas en ciudades inteligentes es "muy insegura, fácil de hackear y muy expuesta a ciberataques". De la misma opinión es Olga Blanco, socia ejecutiva del área de Sector Público en IBM Global Business Services. Aconseja "tomarse en serio" la ciberseguridad de las smart cities puesto que son objetivos atractivos y si no se adoptan las medidas oportunas, las consecuencias pueden ser muy graves: "Las ciudades todavía no están haciendo lo suficiente para protegerse contra ataques cibernéticos y no siempre están verificando la seguridad de las tecnologías que utilizan".

Sin embargo, Blanco puntualiza que estas amenazas no deben frenar su avance. La solución es implantar plataformas y soluciones de ciberseguridad. Para reafirmarlo, hemos preguntado al Ayuntamiento de Barcelona, la ciudad española mejor posicionada en la clasificación mundial de smart cities, según el último informe Cities in Motion del IESE. La respuesta de Paco Rodríguez Jiménez, gerente del Instituto Municipal de Informática, es que en un mundo en el que cada vez encontramos más dispositivos conectados, la seguridad en el control, el acceso y la veracidad de la información resulta fundamental y requiere atención especial. "Se pasa de un entorno de gestión de sistemas de información centralizado a un modelo distribuido; y además: las nuevas tecnologías en movilidad y el acceso multicanal a la información abren nuevas maneras de comunicarse, pero también nuevas vulnerabilidades".

En este mismo sentido, la Comisión de Smart Cities de Ametic, la Asociación de Empresas de Electrónica, Tecnologías de la Información, Telecomunicaciones y Contenidos Digitales, recuerda que una ciudad inteligente está modelada por diferentes componentes que se comunican entre sí o con otros elementos similares. Pero, además, todo esto se sustenta en una infraestructura de hardware con diferentes capas de software donde se despliegan los servicios que, a su vez, analizan, almacenan y envían datos a otros componentes a través de diferentes canales de comunicación. "La complejidad de estas soluciones y la aparición de nuevos escenarios dentro de una smart city nos conducen a nuevas amenazas que exigen nuevos niveles de confidencialidad, integridad, disponibilidad y defensa", remarca a EL PAÍS RETINA Adolfo Borrero, presidente de la comisión.

Una ciudad inteligente constituye una superficie de ataque grande y compleja, donde las vulnerabilidades de los servidores en la nube, de los ecosistemas de apps móviles o de las transferencias de datos podrían tener graves repercusiones. Al menos así lo entiende Loïc Guézo, estratega de ciberseguridad de Trend Micro para el Sur de Europa, quien también recuerda los posibles problemas de privacidad que surgen cuando los datos del ciudadano se recogen en grandes cantidades para ser utilizados por terceros: "El objetivo final podría ser mejorar los niveles de servicio y la experiencia del usuario final, pero sin el consentimiento previo los operadores propietarios se enfrentarán a las acciones de los organismos competentes, sin olvidar en su caso las rigurosas multas con la aplicación del nuevo Reglamento General de Protección de Datos (GDPR) que entrará en vigor en 2018".

  • La seguridad, por delante de la funcionalidad

Para blindar correctamente una ciudad inteligente, uno de los puntos de mayor relevancia es la selección adecuada de la tecnología en la que se basarán sus servicios, la cual debe superar unos determinados controles de seguridad. "Si sólo nos fijamos en la funcionalidad de una determinada tecnología, estaremos abriendo las puertas a posibles ataques de ciberseguridad", señala Borrero, de Ametic. Por ejemplo, el Ayuntamiento de Barcelona tiene establecido dentro de su Plan de Transformación, impulsado desde el Comisionado de Tecnología e Innovación Digital, un apartado específico para revisar al detalle todas las fases que componen su catálogo de servicios online: desde el diseño y las arquitecturas de protección hasta la detección y respuesta en materia de seguridad, pasando por la realización de exhaustivas pruebas de intrusión en sus sistemas.

En esta misma línea, Trend Micro ha elaborado una lista de diez pasos para comprobar la ciberseguridad de una smart city. Este es el resumen del decálogo que ayuda a establecer un protocolo riguroso a la hora de blindar una ciudad inteligente:

  • Realizar inspecciones de calidad y test de penetración antes de que cualquier dispositivo, infraestructura o servicio inteligente esté disponible de forma pública.
  • Elaborar acuerdos de nivel de servicio (SLA) que enumeren los criterios de seguridad que deben cumplir los proveedores de tecnología y servicios. Debe quedar claro para ambas partes que el incumplimiento de las condiciones conlleva sanciones.
  • Establecer un equipo de respuesta ante emergencias informáticas (CERT, en sus siglas en inglés) para poner en marcha contramedidas adecuadas en caso de ataque o bien recuperar el servicio si se producen fallos del sistema. Este equipo también debe responsabilizarse de la generación de informes sobre vulnerabilidades y parches, así como de compartir las mejores prácticas de ciberseguridad.
  • Asegurar la coherencia y seguridad de las actualizaciones de software.
  • Planificar el ciclo de vida de las infraestructuras inteligentes y diseñar el procedimiento para cuando llegue su renovación.
  • Procesar los datos recopilados teniendo en cuenta la privacidad de los ciudadanos.
  • Encriptar las comunicaciones para protegerlas frente a escuchas, intercepciones y modificaciones, especialmente si los datos contienen información confidencial.
  • Tener siempre a mano el manual de desactivación para poder resolver cualquier ataque o fallo del sistema independientemente de si hay conexión a Internet o de si el hacker bloquea el acceso remoto.
  • Diseñar un sistema tolerante a fallos que asegure una funcionalidad continua en lugar de colapsarse completamente.
  • Garantizar la continuidad de los servicios básicos.

En relación con el último punto, en el hipotético caso de que todos los sistemas fallen, resulta esencial que los ciudadanos siempre tengan acceso a los servicios básicos como electricidad o agua y a otros fundamentales como la respuesta ante emergencias. En palabras de César Cerrudo, para prevenir lo mejor es no depender exclusivamente de la tecnología y tener mecanismos secundarios que permitan seguir brindando servicios si las plataformas informáticas dejan de funcionar por cualquier motivo: "Aunque esto puede llegar a ser costoso, debería ser contemplado al menos en los sistemas más críticos".

Llegamos así a una especie de paradoja que establece que cuanto más madura sea una ciudad, mejor podrá ofrecer una continuidad de servicios en los casos en los que no exista continuidad tecnológica.

¿Dónde se esconde el peligro?

• Cualquier dispositivo conectado a la plataforma de una ciudad inteligente es susceptible de ser atacado, así que un único aparato comprometido puede ser la causa de un ciberataque a gran escala. En este contexto, conviene recordar que Gartner estima que este año habrá unos 2.300 millones de dispositivos conectados en las smart cities, lo que supone un crecimiento del 42% con respecto a 2016.

• Una de las principales preocupaciones está en los sensores que se están desplegando en las ciudades, que en la mayoría de los casos no han sido probados a fondo. Debido a la falta de estandarización de los dispositivos IoT (Internet de las cosas, en sus siglas en inglés), los sensores son propensos a ser hackeados y alimentarse con datos falsos. Esto podría derivar en fallos en la toma de información, apagados de sistemas, alteraciones de los sistemas de gestión, etc.

• Debido al despliegue de sistemas más complejos, a las interdependencias existentes entre componentes y servicios, a la conectividad con los ciudadanos y al flujo constante de datos en estas plataformas, la superficie de ataque es enorme. Un simple fallo de seguridad puede tener un impacto enorme en los servicios gestionados por la smart city: alumbrado, riego, transporte, tráfico, semáforos, trámites administrativos...

• El uso de apps incrementa los riesgos en materia de seguridad, ya que es posible que este tipo de aplicaciones para dispositivos móviles contemple vulnerabilidades que son aprovechadas para ejecutar código malicioso.

Más información

Retina

22/07/2017
Normas
Entra en EL PAÍS