Los ciberataques también fijan la mira en las ciudades inteligentes
Una ciudad inteligente será mucho más productiva, transparente y
participativa si extrema sus medidas de ciberseguridad frente a ataques o
cualquier fallo tecnológico
Eran las 23:40 del 7 de abril cuando los habitantes de Dallas se vieron
sobresaltados por unas sirenas que sólo se activan en caso de tornados o
fuertes tormentas. A pesar del cielo despejado de aquella noche, esas 155
alarmas repartidas por toda la zona metropolitana no pararon de sonar durante
casi dos horas, lo cual desencadenó cierto caos entre la población. Al mediodía
siguiente llegó la versión oficial de lo ocurrido: "El sistema de sirenas
de la ciudad fue hackeado el viernes por la noche". ¿La seguridad de las ciudades
inteligentes está en entredicho?
- Tecnología insegura y fácil de hackear
Mantener a raya a los hackers se hace más complicado a medida que las smart
cities amplían su catálogo de
servicios. César Cerrudo, CTO de la firma de seguridad IOActive Labs
y miembro fundador de Securing Smart Cities asegura que de momento tan sólo se
han registrado "casos aislados" de ataques, lo cual no impide que
aumenten y se vuelvan más comunes. En su opinión, la mayor parte de las
tecnologías usadas en ciudades inteligentes es "muy insegura, fácil de hackear y
muy expuesta a ciberataques". De la misma opinión es Olga Blanco, socia
ejecutiva del área de Sector Público en IBM Global Business Services. Aconseja
"tomarse en serio" la ciberseguridad de las smart cities puesto
que son objetivos atractivos y si no se adoptan las medidas oportunas, las
consecuencias pueden ser muy graves: "Las ciudades todavía no están
haciendo lo suficiente para protegerse contra ataques cibernéticos y no siempre
están verificando la seguridad de las tecnologías que utilizan".
Sin embargo, Blanco puntualiza que estas
amenazas no deben frenar su avance. La solución es implantar plataformas y
soluciones de ciberseguridad. Para reafirmarlo, hemos preguntado al
Ayuntamiento de Barcelona, la ciudad española mejor
posicionada en la clasificación mundial de smart cities,
según el último informe Cities in Motion del IESE. La respuesta de Paco
Rodríguez Jiménez, gerente del Instituto Municipal de Informática, es que en un
mundo en el que cada vez encontramos más dispositivos conectados, la seguridad
en el control, el acceso y la veracidad de la información resulta fundamental y
requiere atención especial. "Se pasa de un entorno de gestión de sistemas
de información centralizado a un modelo distribuido; y además: las nuevas tecnologías
en movilidad y el acceso multicanal a la información abren nuevas maneras de
comunicarse, pero también nuevas vulnerabilidades".
En este mismo sentido, la Comisión de Smart Cities de Ametic, la Asociación
de Empresas de Electrónica, Tecnologías de la Información, Telecomunicaciones y
Contenidos Digitales, recuerda que una ciudad inteligente está modelada por diferentes
componentes que se comunican entre sí o con otros elementos
similares. Pero, además, todo esto se sustenta en una infraestructura de hardware con
diferentes capas de softwaredonde se despliegan los servicios que,
a su vez, analizan, almacenan y envían datos a otros componentes a través de
diferentes canales de comunicación. "La complejidad de estas soluciones y
la aparición de nuevos escenarios dentro de una smart city nos
conducen a nuevas amenazas que exigen nuevos niveles de confidencialidad,
integridad, disponibilidad y defensa", remarca a EL PAÍS RETINA Adolfo
Borrero, presidente de la comisión.
Una ciudad inteligente constituye una
superficie de ataque grande y compleja, donde las vulnerabilidades de los
servidores en la nube, de los ecosistemas de apps móviles o de
las transferencias de datos podrían tener graves repercusiones. Al menos así lo
entiende Loïc Guézo, estratega de ciberseguridad de Trend Micro para el Sur de Europa,
quien también recuerda los posibles problemas de privacidad que
surgen cuando los datos del ciudadano se recogen en grandes cantidades para ser
utilizados por terceros: "El objetivo final podría ser mejorar los niveles
de servicio y la experiencia del usuario final, pero sin el consentimiento
previo los operadores propietarios se enfrentarán a las acciones de los
organismos competentes, sin olvidar en su caso las rigurosas multas con la
aplicación del nuevo Reglamento General de Protección de Datos (GDPR) que
entrará en vigor en 2018".
- La seguridad, por delante de la
funcionalidad
Para blindar correctamente una ciudad inteligente, uno de los puntos de
mayor relevancia es la selección adecuada de la tecnología
en la que se basarán sus servicios, la cual debe superar unos
determinados controles de seguridad. "Si sólo nos fijamos en la
funcionalidad de una determinada tecnología, estaremos abriendo las puertas a
posibles ataques de ciberseguridad", señala Borrero, de Ametic. Por
ejemplo, el Ayuntamiento de Barcelona tiene establecido dentro de su Plan de
Transformación, impulsado desde el Comisionado de Tecnología e Innovación
Digital, un apartado específico para revisar al detalle todas las fases que
componen su catálogo de servicios online: desde el diseño y las
arquitecturas de protección hasta la detección y respuesta en materia de
seguridad, pasando por la realización de exhaustivas pruebas de intrusión en
sus sistemas.
En esta misma línea, Trend Micro ha
elaborado una lista de diez pasos para
comprobar la ciberseguridad de una smart city. Este
es el resumen del decálogo que ayuda a establecer un protocolo riguroso a la
hora de blindar una ciudad inteligente:
- Realizar inspecciones de
calidad y test de penetración antes de que cualquier dispositivo,
infraestructura o servicio inteligente esté disponible de forma pública.
- Elaborar acuerdos de nivel de
servicio (SLA) que enumeren los criterios de seguridad que deben cumplir
los proveedores de tecnología y servicios. Debe quedar claro para ambas
partes que el incumplimiento de las condiciones conlleva sanciones.
- Establecer un equipo de
respuesta ante emergencias informáticas (CERT, en sus siglas en inglés)
para poner en marcha contramedidas adecuadas en caso de ataque o bien
recuperar el servicio si se producen fallos del sistema. Este equipo
también debe responsabilizarse de la generación de informes sobre
vulnerabilidades y parches, así como de compartir las mejores prácticas de
ciberseguridad.
- Asegurar la coherencia y
seguridad de las actualizaciones de software.
- Planificar el ciclo de vida de
las infraestructuras inteligentes y diseñar el procedimiento para cuando
llegue su renovación.
- Procesar los datos recopilados
teniendo en cuenta la privacidad de los ciudadanos.
- Encriptar las comunicaciones
para protegerlas frente a escuchas, intercepciones y modificaciones,
especialmente si los datos contienen información confidencial.
- Tener siempre a mano el manual
de desactivación para poder resolver cualquier ataque o fallo del sistema
independientemente de si hay conexión a Internet o de si el hacker bloquea
el acceso remoto.
- Diseñar un sistema tolerante a
fallos que asegure una funcionalidad continua en lugar de colapsarse
completamente.
- Garantizar la continuidad de
los servicios básicos.
En relación con el último punto, en el hipotético caso de que todos los
sistemas fallen, resulta esencial que los ciudadanos siempre tengan acceso a
los servicios básicos como electricidad o agua y a otros fundamentales como la
respuesta ante emergencias. En palabras de César Cerrudo, para prevenir lo
mejor es no depender exclusivamente de la tecnología y tener mecanismos
secundarios que permitan seguir brindando servicios si las plataformas
informáticas dejan de funcionar por cualquier motivo: "Aunque esto puede
llegar a ser costoso, debería ser contemplado al menos en los sistemas más
críticos".
Llegamos así a una especie de paradoja que establece que cuanto más madura
sea una ciudad, mejor podrá ofrecer una continuidad de servicios en los casos
en los que no exista continuidad tecnológica.
• Cualquier
dispositivo conectado a la plataforma de una ciudad inteligente es susceptible
de ser atacado, así que un único aparato comprometido puede ser la causa de un
ciberataque a gran escala. En este contexto, conviene recordar que Gartner
estima que este año habrá unos 2.300 millones de dispositivos conectados en las
smart cities, lo que supone un crecimiento del 42% con respecto a 2016.
• Una de las
principales preocupaciones está en los sensores que se están desplegando en las
ciudades, que en la mayoría de los casos no han sido probados a fondo. Debido a
la falta de estandarización de los dispositivos IoT (Internet de las cosas, en
sus siglas en inglés), los sensores son propensos a ser hackeados y alimentarse
con datos falsos. Esto podría derivar en fallos en la toma de información,
apagados de sistemas, alteraciones de los sistemas de gestión, etc.
• Debido al despliegue
de sistemas más complejos, a las interdependencias existentes entre componentes
y servicios, a la conectividad con los ciudadanos y al flujo constante de datos
en estas plataformas, la superficie de ataque es enorme. Un simple fallo de
seguridad puede tener un impacto enorme en los servicios gestionados por la
smart city: alumbrado, riego, transporte, tráfico, semáforos, trámites
administrativos...
• El uso de apps
incrementa los riesgos en materia de seguridad, ya que es posible que este tipo
de aplicaciones para dispositivos móviles contemple vulnerabilidades que son
aprovechadas para ejecutar código malicioso.
EL PAÍS
No hay comentarios:
Publicar un comentario