El adjetivo “inteligente” acompaña a buena parte de los objetos presentes en nuestra vida cotidiana: teléfonos, televisores, relojes... pero también ha dado el salto hasta realidades más intangibles: empresas inteligentes, sanidad inteligente o ciudades inteligentes. En el caso de estas últimas, la aplicación de la tecnología a las infraestructuras y la gestión de la ciudad promete poblaciones más sostenibles, conectadas, optimizadas ¿y seguras? Analizamos qué soluciones ofrecen las smart cities desde el punto de vista de la seguridad, y también a qué riesgos específicos se enfrentan.
Smart cities, tecnología al servicio de la seguridad
En un mundo cada vez más urbanizado, las ciudades inteligentes se presentan como la solución para resolver los principales problemas ambientales y socioeconómicos propios de las urbes -polución, aglomeraciones, atascos, servicios insuficientes...-. El empleo de la tecnología ayudaría aquí a hacer más eficiente la gestión de las infraestructuras, a reducir el impacto ambiental de la urbe y a mejorar la interacción entre instituciones y ciudadanos y de estos entre sí. Transporte, recogida y tratamiento de residuos, calidad del agua y del aire, participación ciudadana, economía o alertas sobre emergencias son los campos donde se hace más hincapié dentro del desarrollo de estas ciudades. Una lista en la que, obviamente, también tiene cabida la seguridad ciudadana.
Un estudio del McKinsey Global Institute señala que la gestión del big data procedente de cámaras, sensores y terminales podría reducir el crimen entre un 30 y un 40%, y el tiempo de respuesta a emergencias hasta un 35%.
Desde un punto de vista ideal, las smart cities deberían ser más seguras que las ciudades actuales, gracias al uso de soluciones tecnológicas para prevenir, mitigar e impedir problemas relacionados con accidentes, delincuencia o ataques organizados. Tanto en vías públicas como en espacios abiertos, edificios, infraestructuras, transportes y centros de gestión de operaciones.
Ahora bien, ¿cómo contribuye la tecnología a afrontar los retos de seguridad de las ciudades modernas? Básicamente, a través de la recogida y análisis de datos procedentes de cámaras y sensores. Las aplicaciones son numerosas, tanto en el ámbito de la seguridad ciudadana, como en los del tráfico y la movilidad, el medio ambiente y la seguridad sanitaria. Un estudio del McKinsey Global Institute señala que la gestión del big data procedente de cámaras, sensores y terminales podría reducir el crimen entre un 30 y un 40%, y el tiempo de respuesta a emergencias hasta un 35%.
En el caso de la seguridad ciudadana, el empleo de cámaras, sistemas de protección y de control de accesos proporciona a los cuerpos de seguridad información en tiempo real sobre altercados en espacios públicos y delitos cometidos en la calle, pero también sobre venta ambulante ilegal, plantaciones ocultas, obras realizadas sin autorización, vertidos ilegales y alojamientos turísticos sin licencia, entre otras actividades ilegales o delictivas.
En cuanto a la gestión del tráfico y la movilidad, existen proyectos basados en el reconocimiento de matrículas de vehículos, como el desarrollado por Prosegur en Cañete de las Torres, localidad cordobesa de 3.000 habitantes, para implementar soluciones de seguridad municipales basadas en las entradas y salidas no rutinarias de vehículos al casco urbano.
Así, las entradas y salidas de vehículos se registran y analizan “en busca de patrones que podrían ser constitutivos de delito”. Si uno de los análisis detecta un riesgo potencial, se crea una alarma que es transmitida a las fuerzas de seguridad locales.
Por ejemplo, mediante cámaras de videovigilancia se pueden detectar cambios de temperatura, objetos abandonados sospechosos, intrusiones o incluso advertir la presencia de seres humanos. El proyecto también cuenta con un sensor ambiental, una cámara de reconocimiento de matrículas y un control de entradas y salidas. Los datos recogidos por todos esos elementos se transmiten en tiempo real y el sistema es capaz de llegar a conclusiones gracias a técnicas de deep learning.
Respecto a la seguridad ambiental, es posible integrar sensores que detecten la presencia de partículas contaminantes o explosivas en el aire, para las que se establecen unos límites máximos. Si dichos límites se alcanzan o superan, se activarían protocolos específicos para garantizar la seguridad física de los ciudadanos, como la transmisión de alarmas de contaminación.
Una tecnología capaz de establecer patrones y reconocer desplazamientos rutinarios facilita también el control de situaciones de alerta sanitaria, como las derivadas de la reciente crisis del Covid-19. Además, se puede aplicar a situaciones de control de tráfico, para agilizar la circulación de vehículos de emergencias, o a la gestión de áreas de acceso y aparcamiento restringido en el entorno de centros de salud o eventos que requieran el despliegue de dispositivos sanitarios.
Asimismo, otro elemento esencial de las ciudades inteligentes, la gestión energética de los edificios, puede contribuir a la gestión de la seguridad. Por ejemplo, los sensores de iluminación se pueden conectar al control de accesos o a las cámaras de vídeo, a fin de informar de situaciones en las que un edificio tiene las luces encendidas en horas en las que no debería haber empleados o visitantes en su interior, alertando de posibles intrusiones.
Según Prosegur, sistemas de seguridad inteligente como el que van a implantar en Cañete de las Torres equivaldrían a seis agentes de policía trabajando las 24 horas y los 365 días del año. Y con un coste mucho menor.
Riesgos de seguridad propios de las ciudades inteligentes
Hemos visto que la capacidad de recoger y gestionar información que ofrece la tecnología, combinada con una adecuada estrategia municipal, permite grandes avances en el camino hacia la construcción de ciudades mas seguras. Pero no debemos perder de vista que el uso de toda solución tecnológica implica unos riesgos de ciberseguridad inherentes a la misma. Lo cual nos lleva a preguntarnos qué riesgos específicos de seguridad tienen las smart cities que no sufran las ciudades tradicionales.
En una smart city los riesgos son híbridos, e incluyen tanto el acceso a redes y centros de datos desde elementos físicos, como el control de estos a partir de un ciberataque que logre penetrar en los centros de gestión de la ciudad.
Por definición, una smart city es una entidad híbrida, en el sentido de que en ella coexisten el plano físico (calles, edificios, parques, farolas, señales de tráfico, alcantarillado...) con el digital, las soluciones implantadas para gestionar los servicios de la ciudad. Por ello, los riesgos son híbridos también, e incluyen tanto el acceso a redes y centros de datos desde elementos físicos, como el control de estos a partir de un ciberataque que logre penetrar en los centros de gestión de la ciudad.
En el primer caso, el uso de dispositivos conectados a una red entraña una serie de vulnerabilidades de dicha red y de los datos accesibles desde la misma y, por tanto, un riesgo para la ciudad. Cada punto de conexión es un lugar susceptible de ser atacado. Y si el ataque tiene éxito, las vulnerabilidades podrían llegar hasta el mismo control de sistemas decisivos para el funcionamiento de la ciudad. Nexus Integra lo ejemplifica con un ciberataque dirigido al sistema de control de alumbrado público, que podría extenderse hasta controlar los servidores del ayuntamiento.
En sentido inverso, este control de sistemas a gran escala puede generar unos daños enormes alterando y bloqueando el funcionamiento de los servicios básicos de la ciudad. El impacto del daño dependería aquí de las intenciones de los cibercriminales. En algunos casos, se trata de un típico ataque de ransomware, como el que sufrió en septiembre de 2018 la ciudad de Midland (Ontario, Canadá), que hubo de pagar un rescate en bitcoins para recuperar sus sistemas informáticos encriptados. Otros son actos de ciberguerra, dirigidos contra infraestructuras críticas (plantas de energía, redes de abastecimiento, hospitales), como los que han sufrido Ucrania e Irán en sus centrales eléctricas, causados por malware ad hoc como el troyano BlackEnergy en el caso ucraniano o el gusano Stuxnet en el iraní.
Según Nexus Integra, existen dos tipos principales de posibles ciberataques contra smart cities: el robo de datos y el control de infraestructuras. El robo de datos personales de los ciudadanos se basa en el acceso a los datos que las ciudades inteligentes emplean para llevar a cabo numerosos procesos que afectan a sus habitantes: trámites administrativos, asignación de recursos, etcétera. Si los ciberdelincuentes acceden a esa información, pueden obtener datos privados y sensibles de grandes cantidades de ciudadanos para usarlos posteriormente en prácticas fraudulentas. Según los cálculos de IBM, el coste medio de una filtración de datos se acerca a los 3,9 millones de dólares, un impacto económico que ocasionaría importantes perjuicios a cualquier municipio.
Como consecuencia indirecta de la conexión de sensores instalados en edificios o mobiliario urbano, aparece la posibilidad de ejercer un mal uso de esos dispositivos, como la vigilancia ilegal de los habitantes de la ciudad.
Más grave incluso puede ser el control y bloqueo de infraestructuras. A través de las citadas brechas de seguridad, un ciberataque puede terminar con el control de ciertos sistemas e infraestructuras básicos. De esta manera, los atacantes serían capaces de bloquear esas infraestructuras, paralizando su funcionamiento, o de tomar decisiones sobre cómo o cuándo utilizarlas. En el primer caso, se efectúan ataques de denegación de acceso distribuido (DDoS) o man-in-the-middle (MitM). Las consecuencias serían en todo caso muy graves, alterando y hasta interrumpiendo la vida cotidiana de la ciudad, con problemas en el tráfico, las comunicaciones o el suministro de agua y energía.
Desde Securitas apuntan que también es necesario tener en cuenta la posible intromisión en la privacidad de los ciudadanos. Como consecuencia indirecta de la conexión de sensores instalados en edificios o mobiliario urbano, aparece la posibilidad de ejercer un mal uso de esos dispositivos, como la vigilancia ilegal de los habitantes de la ciudad.
La ciberseguridad ciudadana
Con unas smart cities caracterizadas por la interconexión entre sus diferentes actores e infraestructuras, que intercambian y analizan datos, es imprescindible que dichas infraestructuras posean protocolos de seguridad ad hoc. Sin una protección para dispositivos inteligentes y conectados, la interconexión entre sistemas vulnerables deja muchas puertas abiertas para posibles ataques cibernéticos.
Por ello, la seguridad para smart cities es una de las prioridades a la hora de construir este nuevo modelo de ciudad. Urbes como Alicante o Benidorm ya están trabajando en la implantación de Centros de Operaciones de Ciberseguridad. Es preciso implementar de manera proactiva programas de seguridad inteligente, entre los que podríamos destacar los recomendados por la consultora Gartner en su estudio Hype Cycle for Smart City Technologies and Solutions.
En primer lugar, el encriptamiento de datos y los protocolos de acceso. Encriptando los datos almacenados en los servidores de la ciudad, se protege la privacidad de la información personal compartida por sus habitantes. También pueden activarse protocolos de sincronización de modos de acceso y generar protocolos de seguridad para los dispositivos Internet of Things, aportando a los usuarios una visión clara sobre cómo mantener su seguridad y la de los sistemas.
Otra solución útil es la monitorización constante de seguridad, basada en sistemas capaces de analizar los datos recibidos para detectar la posible aparición de los llamados indicadores de compromiso: datos que identifican cualquier incidente de ciberseguridad, actividad o dispositivo malicioso, mediante el análisis de sus patrones de comportamiento. Si se detecta uno de estos IoC, el siguiente paso sería aplicar automáticamente medidas de seguridad para evitar que el daño se extienda.
Como en la seguridad física, las simulaciones de ataque también resultan provechosas en la seguridad digital. Estos simulacros consisten en el empleo de un agente externo para comprobar la seguridad de un sistema. Así se pueden localizar posibles brechas y problemas de seguridad de modo preventivo, a fin de tomar medidas para resolverlos.
Aunque todas estas soluciones no pueden dejar de lado el factor humano. El que muchas veces es el eslabón más débil de la cadena de la seguridad puede convertirse en el primer actor para prevenir ataques. Para ello hay que concienciar a administraciones, proveedores, gestores y usuarios sobre las debilidades de los sistemas usados en una ciudad inteligente y las consecuencias que pueden acarrear esas debilidades.
En conclusión, la estrategia de seguridad en una smart city debe ser integral y adaptativa, y estar integrada como una parte más de la estrategia de implementación de la ciudad inteligente, nunca de manera reactiva. Desde Nexus Integra señalan la necesidad de trabajar con protocolos Secure by Design, desarrollados con estándares de seguridad como parte de su diseño para garantizar la protección de los datos utilizados por los sistemas.
Para ello, todos los implicados en el sistema, incluidas las empresas privadas, tienen que conocer los protocolos de seguridad existentes y el modo de implementarlos. Ello contribuye a tener un modelo de seguridad claro. Además, la elección de las tecnologías usadas ha de efectuarse teniendo en cuenta sus garantías de seguridad. Y deben buscarse constantemente soluciones cada vez más novedosas y seguras. Todo ello, contando con gestores competentes e implicando a los agentes a todos los niveles en la gestión de la seguridad, haciéndoles conscientes de la importancia crucial de la misma para el funcionamiento y el desarrollo de la ciudad inteligente.