La digitalización es una gran oportunidad para hacer más inteligentes a nuestras ciudades, pero también lo es para los ciberdelincuentes, ya que disponen de nuevos escenarios en los que poder actuar. Por ello, a la hora de poner en marcha estos procesos es imprescindible contemplar la ciberseguridad desde el diseño. El motivo es que, desde una perspectiva tecnológica, una ciudad inteligente está formada y modelada por diferentes componentes que se comunican entre sí. Unos componentes que, a su vez, se sustentan en una infraestructura hardware con diferentes capas de software donde se despliegan los servicios, los cuales manejan datos analizándolos, almacenándolos o enviándolos a través de diferentes canales de comunicación.
La complejidad de estas soluciones y la aparición de nuevos casos de uso dentro de una ciudad conectada nos conduce a diferentes escenarios de ciberriesgo, requiriendo, por tanto, la implantación de nuevas líneas de defensa.
Por poner un ejemplo, una de las principales preocupaciones que tienen los responsables de ciberseguridad es garantizar la integridad de los numerosos sensores desplegados en las ciudades, los cuales no suelen estar configurados de forma segura ni probados de manera conveniente. Esto ocurre porque, en la mayoría de las ocasiones, no se están ejecutando análisis de seguridad sobre las tecnologías y soluciones que se están implantando. Consiguientemente, estas se sitúan en el punto de mira de los actores maliciosos del mundo del cibercrimen, como demuestran abundantes ejemplos concretos de ciberataques exitosos.
¿Y quién debe responder a estos retos de seguridad? Por una parte, la industria, que debe aportar tecnología suficientemente robusta que cumpla con los mínimos requisitos de seguridad. Y por otro lado, los gestores de las ciudades, realizando una selección adecuada de la tecnología que van a implementar en los servicios que se proporcionan, asegurando la incorporación de las medidas y controles de seguridad adecuados (permitir solamente la funcionalidad básica por defecto y disponer de los correspondientes mecanismos para evitar la manipulación no autorizada de dispositivos, certificaciones y auditorías técnicas).
Distintos flancos
Otro de los puntos a considerar en una ciudad inteligente es su superficie de ataque. Esta se ve incrementada en tanto que se acrecienta la complejidad de la infraestructura y el despliegue de los sistemas, pero también se ve afectada por las interdependencias existentes entre componentes y servicios por la conectividad con los ciudadanos y por el flujo de datos constante en toda esta plataforma que modela la urbe. Así, cualquier dispositivo conectado a la plataforma de una ciudad inteligente puede servir de puerta de entrada para un ataque a mayor escala.
Por tanto, se propone que cualquier solución tecnológica incorpore medidas de ciberseguridad tales como la autenticación adecuada para el acceso a los servicios, la automatización de las actualizaciones en la medida de lo posible, el cifrado de las comunicaciones y un sistema de monitorización que permita tanto alertar de posibles incidentes de seguridad como realizar auditorías.
Todas estas medidas deben hacer un especial hincapié en preservar la seguridad de los datos, la cual debe ser priorizada desde el principio de cualquier desarrollo destinado a la provisión de servicios. Una medida con impacto positivo es la incorporación en los equipos de expertos en ciberseguridad capaces de identificar los puntos débiles, de proponer las medidas adecuadas para cifrar los datos, de establecer los niveles de cumplimiento de las medidas de ciberseguridad y de reducir así el nivel de riesgo de la infraestructura que comprende la prestación de servicios esenciales en una ciudad.
Con todo, cabe recordar la amplia normativa de aplicación que vela por asegurar los datos y que las ciudades han de observar desde las etapas más tempranas de los proyectos.
Más requisitos
Cualquier actividad que trabaje con datos deberá ser recogida, monitorizada y usada con los debidos permisos de sus propietarios. Las plataformas de monitorización han de estar a cargo de un equipo de expertos capaz de establecer y configurar los casos excepcionales y anómalos que llevarían a identificar y analizar posibles incidentes de ciberseguridad.
Así, al igual que las grandes empresas disponen de un centro de respuesta a incidentes de seguridad (CSIRT/CERT), una ciudad inteligente deberá contar con mecanismos para reducir sus riesgos, pero también de capacidad de respuesta ante los ataques.
La colaboración público-privada es, asimismo, un instrumento muy eficaz en tanto que la industria cuenta con una amplia experiencia que es posible extrapolar a las ciudades, dado que desarrolla proyectos en sectores muy diversos. A su vez, los gestores urbanos cuentan con el conocimiento sobre sus necesidades y cómo satisfacerlas.
Habiendo identificado los mecanismos necesarios para una prestación de servicios cibersegura por parte de una ciudad inteligente, cabe preguntarse: ¿los están contemplando en su operativa? Debe ser así, ya que, en los últimos meses, los distintos concursos públicos para la provisión de servicios que cuentan con fondos de recuperación incorporan requisitos de seguridad incluso más exigentes que los especificados en los pliegos previos a la pandemia.
Resulta conveniente que, además de ceñirse al requerimiento de mecanismos de securización de accesos y de bases de datos y/o medidas generalistas de protección de la información, se adopte una prevención más ambiciosa desplegando mecanismos para la detección y respuesta respecto a los incidentes de ciberseguridad, cruciales para poder reducir el impacto del daño en nuestra ciudad y, por ende, en los ciudadanos.
No obstante, cabe destacar un mayor interés por la ciberseguridad y el cumplimiento normativo, que se sustancia en la incorporación de plataformas de monitorización de eventos de seguridad, de mecanismos de protección contra intrusos o de mecanismos frente a fuga de información.
Sabemos que nunca estaremos seguros al cien por cien, pero cuanto más protegidos y preparados nos encontremos, más reduciremos el impacto de los ciberataques en nuestras ciudades.
Una ciudad inteligente no es un problema tecnológico, aunque debemos saber cómo utilizar la tecnología y qué medidas de protección y respuesta aplicar para hacerla más inteligente mejorando la calidad de vida de sus ciudadanos.
