Smartcity: ciudad inteligente, ¿ciudad vulnerable?

Josep Albors, director del laboratorio de ESET España

Hay que ver cómo han evolucionado los dispositivos en poco tiempo. En apenas unos años hemos pasado de tener relojes, teléfonos, televisores y automóviles que realizaban las funciones básicas para las que fueron concebidos a smartwatches, smartphones, Smart TVs e incluso smartcars.

Así las cosas, el siguiente paso es el que están realizando desde hace tiempo algunas ciudades que buscan implementar la tecnología para que les ayude a optimizar sus recursos y mejorar la vida de sus habitantes.

Sobre el papel todo es ideal, ya que gracias a la interconexión constante entre dispositivos, los habitantes de las smartcities pueden estar informados de posibles atascos, retrasos en el transporte público, servicios básicos como la recogida de basura o incluso recibir alertas y notificaciones importantes.

Esto se ha venido realizando con mayor o menor éxito en diversas partes del mundo, existiendo ejemplos como el de la sociedades japonesa, en la que la utilización de dispositivos móviles para interactuar con información proporcionada por su ciudad o gobierno regional ha llegado hasta el nivel de avisar cuando se produce un terremoto el tiempo necesario para que los habitantes busquen refugio.

También existen ciudades como San Francisco, que acaba de anunciar el lanzamiento de una nueva red inalámbrica especialmente diseñada para acoger e interactuar con todos los dispositivos del denominado Internet de las cosas. Un movimiento lógico, si pensamos que buena parte de la información relacionada con sus habitantes de la que se nutre una smartcity proviene de ese tipo de dispositivos.

El problema aparece cuando tanto los fabricantes de todo tipo de dispositivos conectados, como los que se encargan de su interacción con la smartcity, descuidan su seguridad. Para empeorar las cosas, tampoco se puede afirmar que los complejos sistemas utilizados en una ciudad para gestionar temas cruciales como el suministro eléctrico, el transporte público o la canalización de agua potable sean capaces de pasar una auditoría de seguridad estándar.

Si bien es cierto que estos sistemas se diseñaron pensando en su eficiencia y no tanto en su seguridad lógica, el panorama de riesgos ha cambiado mucho en los últimos años. Los encargados de controlar estos sistemas estarán acostumbrados a detectar averías y enviar equipos especializados a repararlas, pero no a que un atacante se infiltre en sus redes y comience a causar el caos.

En este punto, las smartcities son un objetivo perfecto para atacantes con oscuros intereses. Si hasta hace poco el control de los sistemas informáticos que gestionan las ciudades eran, en su mayoría, sistemas aislados de las redes de comunicaciones públicas, el propio concepto de smartcity anima a que estos sistemas estén conectados a estas redes para poder recopilar la información de la que se nutren para mejorar su funcionamiento.

Y es en este punto donde aparecen los problemas de seguridad. Si la fortaleza de una cadena se basa en su eslabón más débil, la seguridad de una smarticty depende, en gran medida, de la seguridad de los dispositivos que conectemos a ella y de los sistemas utilizados para gestionarla.

Pongamos, por ejemplo, que una ciudad importante, con problemas de tráfico y contaminación, decide proponer el uso de transporte público o incluso fomentar el uso de un transporte ecológico como es la bicicleta. Para eso, se crea una serie de puntos donde los usuarios pueden alquilar temporalmente una bicicleta previo registro, el cual que se realiza online y a través de una aplicación para smartphones.

Aparentemente, todo son ventajas tanto para el ayuntamiento como para los usuarios, pero tan solo hace falta una mala implementación en el proceso de registro, un mal diseño de la aplicación móvil o utilizar un protocolo inseguro para enviar los datos para que la privacidad de miles de usuarios se vea comprometida, se puede acceder a otros servicios de la ciudad o se utilicen los puntos de recogida de bicicletas para mostrar imágenes no aptas para todos los públicos.

Este ejemplo no es algo hipotético. Ha pasado, y en España, concretamente en Madrid nada más implementar su sistema Bicimad, de alquiler de bicicletas (y no ha sido el único). Además, las posibilidades aumentan conforme se van conectando todo tipo de dispositivos como, por ejemplo, semáforos y señales de tráfico.

Varios investigadores han demostrado lo relativamente sencillo que resulta alterar el comportamiento de estos dispositivos tan críticos para el control del tráfico. Tan solo se necesita alguien con ciertos conocimientos y recursos para alterar su funcionamiento, ya sea de forma individual o para afectar a toda la red si consigue acceder al sistema que lo controla.

De hecho, el problema puede ser aun más grave si hablamos de servicios tan críticos como los de emergencias, puesto que los canales de comunicación utilizados tampoco son todo lo seguros que deberían y cuesta muy poco conseguir un dispositivo y modificarlo para escuchar e incluso emitir en sus frecuencias, siendo posible causar un caos considerable si algún atacante se lo propusiera.

Estos dos últimos ejemplos no están sacados de ninguna película de acción en las que un villano pone en peligro la vida de millones de habitantes de una ciudad controlando los sistemas que las gobiernan. Están sacados de una charla del investigador español Carlos García, ponencia que fue presentada en la pasada edición del congreso de seguridad Navaja Negra en Albacete.

Como vemos, la idea de una ciudad inteligente y conectada es algo bueno y no dudamos en que será la tendencia a seguir por las urbes en años venideros. Sin embargo, también hemos de tener en cuenta que, a medida que se vayan conectando los sistemas que se encarguen de gestionar una smartcity, también aparecerán nuevos vectores de ataque.

Por eso mismo, es necesario que se tenga muy en cuenta todo lo relativo en seguridad a la hora de diseñar y proteger las smartcities conforme estás vayan creciendo y, ahora mismo, no estaría de más que en vez de denostar a hackers que nos ayudan a descubrir vulnerabilidades para poder solucionarlas, contemos con su ayuda para hacer de nuestras smartcities un lugar más seguro.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.