Los ciberataques tambi¨¦n fijan la mira en las ciudades inteligentes

Eran las 23:40 del 7 de abril cuando los habitantes de Dallas se vieron sobresaltados por unas sirenas que s¨®lo se activan en caso de tornados o fuertes tormentas. A pesar del cielo despejado de aquella noche, esas 155 alarmas repartidas por toda la zona metropolitana no pararon de sonar durante casi dos horas, lo cual desencaden¨® cierto caos entre la poblaci¨®n. Al mediod¨ªa siguiente lleg¨® la versi¨®n oficial de lo ocurrido: "El sistema de sirenas de la ciudad fue hackeado el viernes por la noche". ?La seguridad de las ciudades inteligentes est¨¢ en entredicho?

• Tecnolog¨ªa insegura y f¨¢cil de hackear

Mantener a raya a los hackers se hace m¨¢s complicado a medida que las smart cities ampl¨ªan su cat¨¢logo de servicios. C¨¦sar Cerrudo, CTO de la firma de seguridad IOActive Labs y miembro fundador de Securing Smart Cities asegura que de momento tan s¨®lo se han registrado "casos aislados" de ataques, lo cual no impide que aumenten y se vuelvan m¨¢s comunes. En su opini¨®n, la mayor parte de las tecnolog¨ªas usadas en ciudades inteligentes es "muy insegura, f¨¢cil de hackear y muy expuesta a ciberataques". De la misma opini¨®n es Olga Blanco, socia ejecutiva del ¨¢rea de Sector P¨²blico en IBM Global Business Services. Aconseja "tomarse en serio" la ciberseguridad de las smart cities puesto que son objetivos atractivos y si no se adoptan las medidas oportunas, las consecuencias pueden ser muy graves: "Las ciudades todav¨ªa no est¨¢n haciendo lo suficiente para protegerse contra ataques cibern¨¦ticos y no siempre est¨¢n verificando la seguridad de las tecnolog¨ªas que utilizan".

Sin embargo, Blanco puntualiza que estas amenazas no deben frenar su avance. La soluci¨®n es implantar plataformas y soluciones de ciberseguridad. Para reafirmarlo, hemos preguntado al Ayuntamiento de Barcelona, la ciudad espa?ola mejor posicionada en la clasificaci¨®n mundial de smart cities, seg¨²n el ¨²ltimo informe Cities in Motion del IESE. La respuesta de Paco Rodr¨ªguez Jim¨¦nez, gerente del Instituto Municipal de Inform¨¢tica, es que en un mundo en el que cada vez encontramos m¨¢s dispositivos conectados, la seguridad en el control, el acceso y la veracidad de la informaci¨®n resulta fundamental y requiere atenci¨®n especial. "Se pasa de un entorno de gesti¨®n de sistemas de informaci¨®n centralizado a un modelo distribuido; y adem¨¢s: las nuevas tecnolog¨ªas en movilidad y el acceso multicanal a la informaci¨®n abren nuevas maneras de comunicarse, pero tambi¨¦n nuevas vulnerabilidades".

En este mismo sentido, la Comisi¨®n de Smart Cities de Ametic, la Asociaci¨®n de Empresas de Electr¨®nica, Tecnolog¨ªas de la Informaci¨®n, Telecomunicaciones y Contenidos Digitales, recuerda que una ciudad inteligente est¨¢ modelada por diferentes componentes que se comunican entre s¨ª o con otros elementos similares. Pero, adem¨¢s, todo esto se sustenta en una infraestructura de hardware con diferentes capas de software donde se despliegan los servicios que, a su vez, analizan, almacenan y env¨ªan datos a otros componentes a trav¨¦s de diferentes canales de comunicaci¨®n. "La complejidad de estas soluciones y la aparici¨®n de nuevos escenarios dentro de una smart city nos conducen a nuevas amenazas que exigen nuevos niveles de confidencialidad, integridad, disponibilidad y defensa", remarca a EL PA?S RETINA Adolfo Borrero, presidente de la comisi¨®n.

Una ciudad inteligente constituye una superficie de ataque grande y compleja, donde las vulnerabilidades de los servidores en la nube, de los ecosistemas de apps m¨®viles o de las transferencias de datos podr¨ªan tener graves repercusiones. Al menos as¨ª lo entiende Lo?c Gu¨¦zo, estratega de ciberseguridad de Trend Micro para el Sur de Europa, quien tambi¨¦n recuerda los posibles problemas de privacidad que surgen cuando los datos del ciudadano se recogen en grandes cantidades para ser utilizados por terceros: "El objetivo final podr¨ªa ser mejorar los niveles de servicio y la experiencia del usuario final, pero sin el consentimiento previo los operadores propietarios se enfrentar¨¢n a las acciones de los organismos competentes, sin olvidar en su caso las rigurosas multas con la aplicaci¨®n del nuevo Reglamento General de Protecci¨®n de Datos (GDPR) que entrar¨¢ en vigor en 2018".

• La seguridad, por delante de la funcionalidad

Para blindar correctamente una ciudad inteligente, uno de los puntos de mayor relevancia es la selecci¨®n adecuada de la tecnolog¨ªa en la que se basar¨¢n sus servicios, la cual debe superar unos determinados controles de seguridad. "Si s¨®lo nos fijamos en la funcionalidad de una determinada tecnolog¨ªa, estaremos abriendo las puertas a posibles ataques de ciberseguridad", se?ala Borrero, de Ametic. Por ejemplo, el Ayuntamiento de Barcelona tiene establecido dentro de su Plan de Transformaci¨®n, impulsado desde el Comisionado de Tecnolog¨ªa e Innovaci¨®n Digital, un apartado espec¨ªfico para revisar al detalle todas las fases que componen su cat¨¢logo de servicios online: desde el dise?o y las arquitecturas de protecci¨®n hasta la detecci¨®n y respuesta en materia de seguridad, pasando por la realizaci¨®n de exhaustivas pruebas de intrusi¨®n en sus sistemas.

En esta misma l¨ªnea, Trend Micro ha elaborado una lista de diez pasos para comprobar la ciberseguridad de una smart city. Este es el resumen del dec¨¢logo que ayuda a establecer un protocolo riguroso a la hora de blindar una ciudad inteligente:

• Realizar inspecciones de calidad y test de penetraci¨®n antes de que cualquier dispositivo, infraestructura o servicio inteligente est¨¦ disponible de forma p¨²blica.
• Elaborar acuerdos de nivel de servicio (SLA) que enumeren los criterios de seguridad que deben cumplir los proveedores de tecnolog¨ªa y servicios. Debe quedar claro para ambas partes que el incumplimiento de las condiciones conlleva sanciones.
• Establecer un equipo de respuesta ante emergencias inform¨¢ticas (CERT, en sus siglas en ingl¨¦s) para poner en marcha contramedidas adecuadas en caso de ataque o bien recuperar el servicio si se producen fallos del sistema. Este equipo tambi¨¦n debe responsabilizarse de la generaci¨®n de informes sobre vulnerabilidades y parches, as¨ª como de compartir las mejores pr¨¢cticas de ciberseguridad.

• Asegurar la coherencia y seguridad de las actualizaciones de software.
• Planificar el ciclo de vida de las infraestructuras inteligentes y dise?ar el procedimiento para cuando llegue su renovaci¨®n.
• Procesar los datos recopilados teniendo en cuenta la privacidad de los ciudadanos.
• Encriptar las comunicaciones para protegerlas frente a escuchas, intercepciones y modificaciones, especialmente si los datos contienen informaci¨®n confidencial.
• Tener siempre a mano el manual de desactivaci¨®n para poder resolver cualquier ataque o fallo del sistema independientemente de si hay conexi¨®n a Internet o de si el hacker bloquea el acceso remoto.
• Dise?ar un sistema tolerante a fallos que asegure una funcionalidad continua en lugar de colapsarse completamente.
• Garantizar la continuidad de los servicios b¨¢sicos.

En relaci¨®n con el ¨²ltimo punto, en el hipot¨¦tico caso de que todos los sistemas fallen, resulta esencial que los ciudadanos siempre tengan acceso a los servicios b¨¢sicos como electricidad o agua y a otros fundamentales como la respuesta ante emergencias. En palabras de C¨¦sar Cerrudo, para prevenir lo mejor es no depender exclusivamente de la tecnolog¨ªa y tener mecanismos secundarios que permitan seguir brindando servicios si las plataformas inform¨¢ticas dejan de funcionar por cualquier motivo: "Aunque esto puede llegar a ser costoso, deber¨ªa ser contemplado al menos en los sistemas m¨¢s cr¨ªticos".

Llegamos as¨ª a una especie de paradoja que establece que cuanto m¨¢s madura sea una ciudad, mejor podr¨¢ ofrecer una continuidad de servicios en los casos en los que no exista continuidad tecnol¨®gica.