“Cuando hablamos de Ciudades Inteligentes pudiéramos pensar en las ciudades pertenecientes a países de primer mundo como Estados Unidos, Alemania, China, o Japón, pero curiosamente el tema está bastante maduro en Latinoamérica”, así lo dijo Roberto Martínez, investigador de seguridad del Grupo de Analistas de Kaspersky México, en ocasión de la 6ta Cumbre Latinoamericana llevada a cabo en Los Cabos, México.
Así es y ya en la Región hay países que están apostando en inversiones y en tecnología para hacer realidad una ciudad conectada para que la vida de sus habitantes, sea mucho más cómoda y sencilla. Un ejemplo es Guadalajara, en México, seleccionada en 2013 como la primera Smart City por el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) -asociación con 430 mil expertos afiliados en todos los temas de tecnología y con presencia en 160 países- que plantea el impulso de ciudades clave en la Región para que se conviertan en ciudades inteligentes.
Santiago de Chile por su lado, está avanzado en su proyecto de Ciudad Inteligente desde 2015 y ha comenzado a buscar soluciones inteligentes en las áreas de movilidad y transporte, seguridad y medio ambiente, que permitan a los ciudadanos desarrollar sus proyectos de vida de forma armónica.
En fin, las Ciudades Inteligentes son inevitables y también lo son los problemas que hay que resolver, advierte el experto. Cualquier tecnología nueva, trae implícitas nuevas vulnerabilidades y los riesgos existen alrededor de estas tecnologías que ya se están implementando y nos damos cuenta que en la mayoría de los casos, la realidad supera la ficción. Pero la cantidad de problemas se reduciría drásticamente, advierte el analista, si se pusiera en práctica un enfoque adecuado de seguridad desde los cimientos.
“Tenemos que entender que todo en una ciudad puede ser un blanco. Cada vez más todo está superconectado, cada vez más hay tecnologías conectadas a Internet hablando entre sí, intercambiando información y datos y esto nos puede hacer vulnerables. Estamos hablando de organizaciones de gobierno, educativas, de iniciativas privadas, comunicaciones, transporte, banca, etc. Cada vez es más sencillo mantener esa comunicación, pero cada vez eso está más expuesto hacia diferentes tipos de riesgos”, señala.
Potenciales riesgos
La mayoría de los sistemas son accesibles de forma remota.
Advierte Martínez que no tendría sentido que tuviera que ir una persona a una ciudad inteligente o a un componente para configurar un dispositivo o una plataforma, se supone que lo ideal es que se haga de forma remota, y por lo tanto, está expuesto y el mejor medio conocido es Internet.
Muchos de estos sistemas son obsoletos y no tienen parches.
Esta es una realidad palpable. Se compra tecnología, se cumple con el requerimiento de ciudad inteligente, pero en ningún momento existe un marco de seguridad.
No existe en la mayoría de los casos Planes de Respuesta a Incidentes o Análisis de Riesgos.
Otra realidad palpable. Son contadas las empresas de la Región que cuentan con este tipo de planes y en la práctica no funcionan, advierte el analista, destacando que es importante que una infraestructura critica o los componentes de una ciudad inteligente, tuvieran un marco de respuesta a los ataques e incidentes y tener un plan de acción si alguien compromete los sistemas, acceden y manipulan la información.
No se realizan auditoría de seguridad para reducir el riesgo de un ciberataque.
No existe un marco de referencia para una auditoría de seguridad a los diferentes componentes. Muchas veces como son tecnologías propietarias, pueden haber pocas personas especializadas en este tema.
Incidentes de Seguridad
Martínez destaca que ya han ocurrido muchos incidentes de seguridad en Latinoamérica, en especial, en los aeropuertos. El caso más reciente fue el ataque a la línea aérea Delta y las fallas sucedidas en el sistema de radar del Aeropuerto Internacional de la Ciudad de México que afectaron el despegue de 45 vuelos y el aterrizaje de tres aviones.
“A finales de 2000 se reportaron incidentes de seguridad que tenían que ver con gente que había entrado a los sistemas de control aéreo. El riesgo es latente y existe. Incluso el FBI ya ha reportado últimamente que ha detectado incidentes de seguridad hacia este tipo de infraestructuras”, advierte.
Kaspersky Lab en este sentido, llevó a cabo una investigación en sistemas, infraestructuras y equipos públicamente disponibles, de varios países de la región y cuyo reporte nos da una idea del grado de exposición que tienen y la falta de políticas de seguridad.
Destacó el analista que la empresa rusa, sin entrar en detalles de su ubicación física, encontró por ejemplo, un sistema que permitía controlar todo lo relacionado con la energía. La infraestructura ofrecía un acceso total y directo a la dirección IP, se pudo tener así tiene el control y el acceso total y absoluto al acceso remoto, el acceso al usuario y a su contraseña, las cuales estaban en texto plano. Además, sus sensores se podían manipular, configurar y desactivar, todo al alcance de la mano.
También encontraron otro dispositivo que manejaba el control eléctrico de una planta. Se logró tener acceso a la misma y si se quería, se podía manipular sus voltajes, pudiendo así dejar sin luz a una zona de la ciudad desde donde se controla esta central eléctrica. “Estos dispositivos son reales, controlan un sistema y este sistema está totalmente expuesto. Se tiene acceso a toda la configuración”, alertó, indicando además que comprobaron que las cámaras web en general, son totalmente accesibles y los ciberdelincuentes pueden fácilmente tener acceso para obtener toda la información registrada y usarla para su provecho. “Estos dispositivos son muy sencillos de acceder”, advierte.
Números de Latinoamérica
A raíz de la investigación se determinó que: Brasil es el país que tiene más dispositivos expuestos (273 encontrados en Internet), le sigue Chile con 66, México con 42, Argentina registra 18, Uruguay tiene 12, Colombia tiene 12, Puerto Rico 9, Ecuador 8, Panamá 5 y Venezuela 4.
Entre las compañías que utilizan sistemas que controlan energía eléctrica y agua, en primer lugar está Brasil con 8 sistemas expuestos, México 4, Panamá 3 y Ecuador 3.
Entre los sistemas de automatización de edificios: Brasil tiene 118 dispositivos expuestos, seguido de México 55 y Panamá 15, este último pesar de ser un país pequeño, cuenta con infraestructuras criticas importantes al estar accesibles o visibles.
También fueron inspeccionados sistemas de aire acondicionado, de luz y detección de fuego: Brasil está a la cabeza con 14 equipos expuestos, le sigue Panamá con 10, Argentina 7 y Puerto Rico 6.
Para reflexionar
-La superficie de los ataques a las ciudades inteligentes es enorme en la actualidad y el riesgo de que estas sufran un ataque, es muy alto. El problema es serio, puede afectar al país entero.
-Es sólo cuestión de tiempo para que los ataques contra los servicios de la ciudad se conviertan en algo más cotidiano. Si en una investigación se tiene acceso a un buen número de dispositivos que están desprotegidos, qué se lo impide a los ciberdelincuentes si encontraran una forma de hacer dinero con esto. Ya comenzarán.
-Se debe crear conciencia en el impacto que puede tener un ciberataque para que estos sean verdaderamente considerados como un asunto de seguridad pública. No existe un plan de respuesta de incidentes de cuál sería el impacto.
-La protección a las TI asociadas a las ciudades inteligentes e infraestructuras críticas, realmente se debería considerar como un asunto de seguridad pública.
Fuente: cwv.com.ve