Ciudades inteligentes: Un nuevo paradigma para la ciberseguridad

Blog

4
- Febr
2020
Publicado por: Raúl Sánchez
[Casos de ciberseguridad]
Ciudades inteligentes: Un nuevo paradigma para la ciberseguridad

Cuando pensamos sobre smart cities es muy común pensar en calles llenas de pantallas y Wi-Fi incluso en el cuarto de baño. Sin embargo, el término smart city significa mucho más que eso. Desde luego, interacción y comunicación son factores muy importantes para una smart city, pero no son los únicos.

Otro término que se nos suele ocurrir es IoT (Internet of Things), y con ello seguramente nos estamos centrando más. IoT es el nuevo paradigma que está cambiando las reglas del y juego y nuestras ciudades.

Miles de millones de bytes son recopilados cada día desde todo tipo de sensores en todo tipo de dispositivos. Estos datos pueden ser usados para mejorar la eficiencia de la ciudad de muchas maneras, como el consumo de la energía, transporte, comunicaciones, etc… Así que tenemos que incluir un nuevo concepto a la ecuación: Big Data.

La base de la ciudad inteligente es la combinación de estos dos métodos mencionados. IoT y Big Data. No obstante, son necesarios, pero no suficientes. Es necesario un uso adecuado junto con análisis para lograr el objetivo principal de una Smart City: ser capaz de gestionar los recursos por sí misma para mejorar la operatividad, ser sostenible y respetuosa con el medio ambiente.

IoT en las Smart Cities

Hemos soñados con gigantescas redes de dispositivos conectados desde el principio del milenio. Hoy en día es una realidad. Todo dispositivo tiene una interfaz para conectarse a internet y trasmitir datos veinticuatro horas al día, siete días por semana. Y estos dispositivos no son solo sistemas empotrados en semáforos o paradas de autobús, sino también aquellos operados por humanos como smartphones, wearables, asistentes virtuales o tarjetas inteligentes.

La tecnología que ha impulsó IoT ha sido desarrollado y mejorado durante las dos primeras décadas del milenio haciéndolo realidad. Tecnologías Wireless como Wi-Fi, procesadores y arquitecturas reducidos como ARM, protocolos específicos como MQTT, OCPP, ZigBee o incluso Bluetooth y el procesamiento en la nube han alimentado el IoT y lo han llevado hasta donde está hoy.

A la vez que el paradigma evolucionaba, los dispositivos inteligentes se han esparcido por las grandes ciudades, pero su implementación no ha sido planeada y se han utilizado ‘in situ’ para para resolver necesidades específicas. Si la ciudad hubiera tenido en cuenta estos sistemas en su planificación, interaccionaríamos de una forma completamente diferente a como o hacemos hoy en día. Como esta solución es imposible (ya que las grandes ciudades arrastran una larga historia) se puede probar a “parchearlas” incorporando el uso de estos nuevos paradigmas conforme la ciudad crece.

Big Data en las Smart Cities

Con semejante cantidad de dispositivos conectados, vamos a tener una ingente cantidad de datos que necesitan ser almacenados y procesados. Es imposible almacenarlos en el mismo dispositivo en el que son generados en la mayoría de los casos debido a las restricciones inherentes al dispositivo (aunque los smartphones pueden almacenar sus propios datos), así que la computación en la nube junto con un bando de ancha fiable y de alta velocidad es esencial.

El almacenamiento de datos requiere de una infraestructura dedicada que se tiene que tener en cuenta. La ciudad crece, y los datos con ella, así que debería ser escalable y garantizar seguridad, lo cual incluye disponibilidad, confidencialidad e integridad de los datos en todo momento.

Además del almacenamiento, el procesamiento de datos también requiere máquinas potentes. Estos datos van a ser usados probablemente en inteligencia artificial. Los algoritmos convencionales no son suficientes cuando hablamos cuando hablamos de cantidades tan grandes, así que la IA (y las redes neuronales en concreto) suele ser la mejor solución.

La IA nos permite predecir y optimizar problemas comunes de la gestión de la ciudad, tales como la frecuencia del transporte público en hora punta, control y monitorización de la energía en función de la producción y el consumo, alumbrado inteligente o vigilancia de grupos vulnerables.

En definitiva, una smart city ideal debería comportarse como un sistema independiente que se ocupe de gestionar sus datos y actúe en consecuencia.

Ciberseguridad en las Smart Cities

Una ciudad independiente y auto-gestionada suena genial, pero un conjunto enorme de sistemas completamente conectados significa un área de exposición muy grande, física y virtualmente. Seguridad y prevención debe ser la prioridad ya que todos los ciudadanos de la ciudad dependen de ello.

La infraestructura de las Smart cities está expuesta a muchas amenazas que deben ser consideradas durante el diseño. No todas las amenazas son realizadas por un atacante, tenemos que considerar también las amenazas accidentales. Como se menciona en este artículo de ENISA, podemos clasificar las amenazas de la siguiente manera:

    Amenazas intencionales: obviamente, aquellas cometidas por un atacante con malas intenciones. Podemos clasificarlas:

  • Espionaje: Capturar el tráfico de la red y escuchar las comunicaciones entre dos o más partes sin su consentimiento. Podría afectar no solo a la confidencialidad sino también a la integridad de la comunicación. Los dispositivos IoT a menudo utilizan conexiones inalámbricas que son fáciles de interceptar. Además, debido a las restricciones inherentes al dispositivo, es común ver tecnologías cuya configuración es insegura por defecto como, por ejemplo, MQTT, que es un protocolo muy común en las comunicaciones entre dispositivos IoT.
  • Robo: Apropiación no autorizada de datos o tecnología. La confidencialidad y la disponibilidad pueden verse afectadas y pueden derivar en otros ataques si se roban credenciales o llaves. Como los dispositivos están en la calle, pueden ser comprometidos fácilmente.
  • Uso/acceso no autorizado: Suele ser el primer paso que conduce a otro ataque. El mal uso de un recurso es también un uso no autorizado. Teniendo en cuenta que muchos sistemas tienen como objetivo mejorar la interacción, un mal uso podría ser un escenario muy probable.
  • DDoS:Una enorme cantidad de sistemas conectados es el objetivo perfecto para conseguir una botnet. Un DDoS realizado por una red de dispositivos IoT puede causar varios daños a la disponibilidad no sólo del sistema atacado sino también de los dispositivos que forman parte de la botnet.

    • Amenazas accidentales:

  • Fallo de hardware: Los dispositivos de IO no están en un entorno estático y puede producirse un fallo debido a muchos factores. Además, un fallo en los dispositivos de red como en routers o switches puede causar grandes interrupciones.
  • Error de usuario: ya sea un operario, ya sea un usuario, puede causar un error debido a un uso inesperado del sistema o a una mala configuración. Puede llevar a la pérdida de disponibilidad o incluso a la fuga de datos.
  • Fin de soporte: Como un sistema IoT no suele ser de fácil acceso, las actualizaciones suelen olvidarse y ello puede conducir a varias vulnerabilidades, promoviendo ataques intencionales.
  • Interrupción eléctrica: el suministro de energía eléctrica puede no ser constante debido a factores externos, pudiéndose ver comprometida la disponibilidad.
  • Incidentes ambientales: como estos sistemas suelen estar a la intemperie, las malas condiciones climáticas pueden dañarlos interfiriendo las comunicaciones o incluso derribándolos.

    • Por supuesto, todas estas amenazas se pueden mitigar si se sigue un conjunto de buenas prácticas:

  • Uso de VPN para beneficiarse de la funcionalidad de las redes privadas en las redes públicas.
  • Cifrado de datos para garantizar la confidencialidad.
  • Protección física para evitar el acceso a los dispositivos que se suelen colocar en las calles.
  • Control de acceso para no sólo evitar el acceso a entidades no autorizadas, sino también para vigilar quién tiene acceso y qué hizo.
  • Registrando y monitoreando cada acción para obtener registro de qué, cuándo, dónde y cómo sucedió.
  • Procedimientos de depuración para solucionar los errores del sistema cuando sea necesario.
  • Redundancia de hardware para tener una copia de seguridad en caso de que un sistema falle.
  • Procedimiento de apagado para mantener los datos y sistemas consistentes en caso de que se apaguen inesperadamente.
  • Mantenimiento de copias de seguridad en centros dedicados a recuperar datos en caso de que sea necesario.
  • Auditorías regulares para hacer un seguimiento de las debilidades de la infraestructura y remediarlas.
  • Actualizaciones regulares para prevenir la obsolescencia (software o hardware).
  • Hardening de los dispositivos reduciendo la superficie de exposición.
  • Protecciones energéticas como protecciones de sobretensión o fuentes de alimentación secundarias.
  • Formación de usuarios y operadores para dar los conocimientos necesarios para utilizar las tecnologías de manera segura.
  • Requisitos de ingeniería mejorados donde la seguridad es una prioridad.

Si alguna infraestructura crítica es comprometida, los ciudadanos se podrían ver afectados directa o indirectamente. Por ejemplo, si el control del suministro de agua es comprometido, los ciudadanos podrían no tener acceso al agua. Un ataque a las cámaras podría comprometer la privacidad fundamental. Probablemente, el punto más crítico sería un ataque al sistema de transporte que podría derivar en atascos en el mejor de los casos y accidentes en el peor. Además, datos sensibles, credenciales, claves, o incluso dispositivos físicos pueden ser robados, comprometiendo otro sistemas o usuarios relacionados.

La creación de leyes específicas de ciberseguridad, el uso de buenas prácticas y las pruebas periódicas de seguridad son completamente necesarias para hacer que nuestras ciudades inteligentes sean lo más fiables y sostenibles posibles. La seguridad debe ser una prioridad durante la fase de diseño y el plan de crecimiento de la ciudad tiene que estar sincronizado con la planificación de la ciberseguridad. El asesoramiento profesional es completamente necesario. Los profesionales de la ciberseguridad tienen que participar en la adopción de las nuevas tecnologías diseñando, auditando y evaluando la seguridad de los dispositivos y sistemas conforme a los estándares de ciberseguridad reconocidos como LINCE o Common Criteria.

Sería muy conveniente recoger todos estos puntos clave en un gran estándar especialmente dedicado a las ciudades inteligentes. Sin embargo, no existe en este momento. La ciberseguridad se recoge dentro de normas más generales sobre ciudades inteligentes como la ISO/TS 37151:2015, donde la seguridad se menciona vagamente. Un estándar preliminar está siendo desarrollado por el NIST, pero está lejos de ser una realidad. El PD 8100 es el estándar para ciudades inteligentes desarrollado por BSI (Reino Unido) pero, de nuevo, es una definición de ciudad inteligente en términos generales y sólo menciona la seguridad un par de veces. Es obvio que es más que necesario desarrollar un estándar específico y conciso que pueda describir y ampliar la ciberseguridad en una Ciudad Inteligente.

Conclusion

Las ciudades inteligentes son el nuevo paradigma que va a ser adoptado por cada gran ciudad en un futuro cercano. Sostenibilidad, operatividad y eco-eficiencia son los objetivos principales a alcanzar y gracias a la tecnología estamos más cerca cada día. Sin embargo, la seguridad no se puede olvidar si queremos crear un espacio seguro para todos. El precio que podemos pagar por no hacernos cargo de ello puede ser muy alto, no solo en términos de dinero sino también en vidas humanas. Adaptar la tecnología no es suficiente. Las leyes, el comportamiento y las responsabilidades tienen que actualizarse para avanzar hacia el nuevo paradigma.

La ciberseguridad se tiene que tener en cuenta desde la concepción de la Smart city; incluir requisitos de ciberseguridad (certificaciones de ciberseguridad, pentesting realizado por auditores reconocidos, etc…) tiene que ser una obligación en el futuro.

Bibliografía

Michael Batty (2013) Big data, smart cities and city planning

Anwaar AlDairi and Lo’ai Tawalbeh, (2017) Cyber Security Attacks on Smart Cities and Associated Mobile Technologies

Mircea Eremia, Lucian Toma, Mihai Sanduleac (2016) The Smart City Concept in the 21st Century

Cyber Security Attacks on Smart Cities and Associated Mobile Technologies

Smart City Security – CyberExperts

Smart Cities: Threat and Countermeasures

Cyber Security for Smart Cities: An architecture model for public transport – ENISA

Securing Smart Cities

PD 8100:2015

NIST preliminary standard

ISO/TS 37151:2015: 2015

tags
Raúl Sánchez/Evaluador Trainee

Estudiante de ingeniería informática en la UGR, especializado en Tecnologías de la Información. Entusiasta de la ciberseguridad y la informática. Actualmente trabaja como trainee cybersecurity evaluator en JTSec desde principios de 2020.


Contacto

¡Envíanos tus dudas o sugerencias!

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
ÚLTIMAS ENTRADAS
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
Abril 23, 2024
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
jtsec - Nuestro LINCE 2023
Febr 6, 2024
jtsec - Nuestro LINCE 2023
Les deseamos un feliz y ciberseguro 2024
Dic 19, 2023
Les deseamos un feliz y ciberseguro 2024
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Dic 14, 2023
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Cómo incluir tu producto o servicio en ENS ALTA.
Oct 31, 2023
Cómo incluir tu producto o servicio en ENS ALTA.
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
Sept 19, 2023
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
ENS & CPSTIC – Juntos somos más fuertes
Ago 23, 2023
ENS & CPSTIC – Juntos somos más fuertes
Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
Mayo 9, 2023
Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
jtsec obtiene la certificación ENS Alta.
Mayo 1, 2023
jtsec obtiene la certificación ENS Alta.
Common Criteria Statistics Report para 2022
Marzo 20, 2023
Common Criteria Statistics Report para 2022
CATEGORÍAS