La importancia de la ciberseguridad en las Smart Cities

por Ramiro Mirones (Socio de Riesgos Tecnológicos en EY) y Javier Del Riego (Director de Ciberseguridad en EY)

  • Compartir

Publicado en El Economista, 23 de septiembre de 2016

Hace ya más de quince años Kevin Ashton en su artículo Esa cosa del Internet de las cosas ya afirmaba que “si tuviéramos ordenadores capaces de capturar todo lo que necesitamos saber de las cosas –usando datos recogidos sin nuestra intervención– seríamos capaces de rastrear y contabilizarlo todo, reduciendo enormemente las ineficiencias, pérdidas y costes… El Internet de las cosas tiene el potencial de cambiar el mundo tal como ya lo ha hecho el propio Internet. Quizás todavía más”. El concepto, por lo tanto, no es nuevo, pero su aplicación práctica y explotación masiva sí está siendo más evidente en la sociedad en los últimos años y precisa de responsabilidad para garantizar la protección de su funcionamiento, la correcta gestión de los datos que procesa y la seguridad de su comunicación.

Este nuevo ecosistema tecnológico expande las tradicionales fronteras de las redes y facilita la interacción. Las capacidades del Internet de las cosas y sus potencialidades, junto con tecnologías de análisis masivo de datos, Big Data, el cloud computing o las redes fijas y móviles de banda ancha, permiten ahorrar costes y ser más eficientes a la vez que se prevé que transformarán y digitalizarán el mundo de los negocios, las relaciones comerciales y los servicios que todos los ciudadanos utilizamos en nuestra vida diaria.

La tecnología es por tanto un impulsor de los negocios y los cambios en los hábitos personales y profesionales, pero estos cambios no están exentos de riesgos y amenazas. Esta realidad nos trae a los profesionales de la ciberseguridad nuevos y viejos retos, ya que no solo debemos contemplar que las “cosas” están o van a estar conectados a Internet u otras redes privadas, sino que debemos entender que incorporan capacidad de proceso y almacenamiento más allá de la conectividad convirtiéndolas en “smart things” en la medida en que son algo más que dispositivos sensores conectados y pueden soportar una lógica que añade nuevos vectores de ataque y riesgos de los que hay que protegerse (tales como la privacidad, el fraude, la denegación del servicio, la gestión de las vulnerabilidades e incidencias y el cumplimiento regulatorio).

En cuanto a la privacidad hay que destacar que los datos personales que cedemos y aquellos que se recaban por el uso de determinados productos y servicios están creciendo exponencialmente con las “smart things”. El Big Data, utilizado sobre y para la gestión desagregada de determinados productos o servicios, es una herramienta empresarial muy útil para conocer mejor a nuestros consumidores, pero la frontera del uso al abuso es muy fina y se puede cruzar de forma no intencionada facilitándose el análisis de las personalidades, hábitos, localización, gustos y costumbres de las personas con las que se interactúa. El vector de ataque físico al hardware de los dispositivos posee especial importancia ante la deslocalización e imposibilidad de asegurar una adecuada protección física de los mismos.

El fraude es especialmente relevante para los equipos y entornos en los que se gestionen servicios de cobro o medida de la utilización de suministros, tipo smart meters. La posibilidad de la manipulación intencionada de los equipos con el fin de cometer abuso o ataques al servicio para evitar pagos o imputarlos a terceros es otro de los riesgos de seguridad que deben mantenerse bajo el radar ante el despliegue de tecnologías de este tipo.

Sin embargo, el mayor riesgo de cara a infraestructuras críticas, en su doble vector de ataque, es la denegación del servicio. En este caso, los propios dispositivos podrían ser utilizados para atacar a los sistemas centrales de gestión y control operativos u otros actores en Internet causando una potencial disrupción completa si se vieran afectados los elementos críticos de supervisión y control de la infraestructura. Y, además, desde las propias redes de control e Internet se podrían recibir ataques de denegación de servicio (distribuidos o no) que impidan la ejecución parcial o total de la funcionalidad del equipo. De hecho, cuanto más “smart” sean los equipos distribuidos mayor posibilidad de abuso para el lanzamiento de ataques distribuidos.

Otra de las cuestiones fundamentales en todo este mundo “Smart” es la gestión de las vulnerabilidades, ya que las necesidades de rápido despliegue, el control de los costes para las infraestructuras masivas y las tradicionales resistencias organizativas harán inevitable que aparezcan. Por ello, es esencial una adecuada gestión proactiva y reactiva de estas vulnerabilidades para garantizar que se minimizan los riesgos de seguridad de los equipos antes de que sean puestos en producción y distribuidos geográficamente, así como para reaccionar rápidamente ante nuevas amenazas.

Y de lo que no cabe duda es que, queramos o no, las incidencias de seguridad en este contexto van a ocurrir pudiendo añadir a la tradicional complejidad en el manejo de incidencias que puedan suponer fraude, pérdida de datos de clientes o denegación del servicio, la dispersión e interrelación compleja de las redes habitualmente impactadas y la transversalidad que muchas de estas infraestructuras presentarán como soporte a servicios críticos. La colaboración de los diferentes actores, públicos y privados, se presenta una vez más como imprescindible para alinear, desde los proveedores de equipos conectados, las redes de telecomunicaciones que utilizan y los servicios críticos que soportan. Todo apunta a que las dimensiones de las Smart Cities harán que la utilización de los centro de respuesta ante incidencias o emergencias técnicas se impongan como modelos inevitables de compartición de información de amenazas, vulnerabilidades y resolución de incidentes reales.

Asimismo, y no menos importante, la realidad del mundo Smart tiene el reto de asegurar el cumplimiento regulatorio en aspectos como la protección de datos personales. La adecuada comunicación a los usuarios de los límites utilizados para recabar los datos personales y la garantía de los derechos sobre sistemas extremadamente distribuidos e interconectados y que habitualmente se soportan en tratamientos en la nube presentan dificultades de cumplimiento por los problemas de encaje de la legislación pensada para contextos tecnológicos que hoy en día están superados. Son necesarios, por tanto, experiencia y capacidad de análisis más allá del marco tradicional de la LOPD.

En definitiva, la realidad actual está ya o estará soportada en un futuro por una infraestructura técnica que se gestionará sobre redes y sistemas basados en Smart Things que precisan de una gran responsabilidad para hacer frente a todos estos potenciales riesgos. Todos nos jugamos mucho en ello.

Sobre los autores

EY - Ramiro Mirones  Ramiro Mirones

Socio de Riesgos Tecnológicos en EY

EY - Javier Del Riego  Javier Del Riego

Director de Ciberseguridad en EY