Aunque ultraconectada, la ciudad inteligente de hoy adolece de un déficit crónico de ciberseguridad en sus equipos de movilidad urbana. A medida que los actores del sector de la movilidad urbana se diversifican, nos centramos en la creciente frecuencia e intensidad de los ciberataques que socavan una flota de movilidad conectada pero vulnerable. Primer artículo de una serie sobre cuestiones de ciberseguridad en las ciudades inteligentes y conectadas.
Esa mañana de junio de 2023, en Olsztyn, Polonia, el municipio está en alerta: las taquillas del transporte público están paralizadas, el tráfico se ralentiza en muchas de las carreteras de la ciudad y el sistema de gestión de los semáforos funciona en modo degradado. El día anterior, un ciberataque tuvo como objetivo la infraestructura de transporte conectado de esta ciudad polaca, que se presenta como una de las ciudades inteligentes más avanzadas del país.
En Olsztyn, como en otras de las llamadas ciudades inteligentes, la movilidad urbana preocupa a varios actores: la flota incluye tanto operadores históricos de transporte público como startups de movilidad activa y medios de transporte privados (incluidos los coches). Por tanto, todos estos servicios deben estar conectados para hacer realidad la multimodalidad. Pero uno de los grandes retos actuales es que la mayoría de los servicios de transporte no están suficientemente protegidos contra las ciberamenazas. Esta es una de las principales conclusiones de un informe de ENISA, la agencia europea de ciberseguridad, que destaca la vulnerabilidad de este sector ante los ciberataques.
Los desafíos de ciberseguridad en la movilidad urbana
Hoy en día, la movilidad urbana conectada permite optimizar los flujos de tráfico. Uno de los casos más conocidos es el de Londres, con peajes a la entrada de la ciudad, pero también puede tratarse de semáforos u otras cámaras de videovigilancia, que están equipados con sensores inteligentes para recoger datos sobre el tráfico. En concreto, todos estos servicios conectados pretenden reducir los efectos de la congestión y organizar mejor el tráfico durante las horas punta.
Las interfaces conectadas también se encuentran en la mayoría de los servicios de movilidad activa, en las estaciones de recarga, así como en las aplicaciones utilizadas para reservar equipamiento, bicicletas o patinetes. Las redes conectadas ofrecen entonces la posibilidad de coordinar las distintas redes de transporte para facilitar la interoperabilidad entre medios de transporte. La MaaS (o movilidad como servicio) es, pues, uno de los ámbitos clave de las políticas de movilidad urbana.
Sin embargo, estas innovaciones plantean nuevos retos para la ciberseguridad. Porque la ciudad conectada suele ser sinónimo de vulnerabilidades. En 2022, se han disparado los ciberataques oportunistas dirigidos contra las infraestructuras de transporte conectadas en las ciudades, como señala ENISA. Pero no son los únicos: algunos ataques, también basados en explotar brechas de seguridad, pueden dirigirse a terminales de uso compartido de bicicletas o patinetes de acceso abierto para desviar los datos personales y la información bancaria de los usuarios, mientras que otros, como el malware o los ataques DDoS, se dirigen explícitamente a los servicios de movilidad urbana. En el sector del transporte, aunque las vulnerabilidades afectan “en particular a los sistemas informáticos”, como señala ENISA, esto no significa que las redes OT no sean un objetivo.
Al igual que en otros sectores, el ransomware sigue siendo el arma preferida de los ciberdelincuentes. Estos ataques han aumentado un 25% en 2022, señala la agencia europea. Y esto, en todo el mundo: Alemania en mayo de 2017, Dinamarca en mayo de 2018 y noviembre de 2022, Italia en marzo de 2022 o Polonia en agosto de 2023; aunque las empresas ferroviarias suelen ser señaladas cuando se trata de ciberataques en el mundo del transporte, todo el sector se ve afectado.
Un repaso a los ciberataques que afectaron a la movilidad urbana
Estos ciberataques son potencialmente dramáticos. Un ataque a los semáforos, por ejemplo, podría provocar que todos los semáforos se pusieran en verde al mismo tiempo, lo que provocaría graves accidentes de tráfico, según pronostica la web especializada a/o proptech. Una proyección que no ha pasado desapercibida para los investigadores de la Universidad de Michigan. Ya en 2014, un equipo logró hackear el flujo de datos sin cifrar para controlar el color de los semáforos, alterando la visualización y provocando atascos en el proceso. Esta experiencia ha servido de manual para que otras ciudades apliquen un principio de segmentación entre las redes conectadas a los semáforos y las redes generales de transporte urbano.
Además de los ciberataques dirigidos directamente a los sistemas de movilidad urbana, los intentos de sabotaje o secuestro de los servicios de movilidad compartida también son una amenaza muy real, ¡y no solo para las principales ciudades del mundo! Entre 2019 y 2022, Francia vio su cuota de ataques maliciosos contra los sistemas de transporte en ciudades más pequeñas, como fue el caso de Sarrebourg (Moselle), Sequedin (Nord), Huez (Oisans), La Croix-Valmer (Var) y Nuits-Saint-Georges (Cotes-d'Or). Esta vez, uno de los últimos ejemplos afecta a una ciudad más grande: el servicio Mobilites de Île-de-France, víctima de un pirateo informático que ha permitido la apropiación de 4.000 direcciones de correo electrónico y contraseñas de usuarios, según informa L'Usine Digitale.
Y este tipo de ciberataque adquiere una dimensión aún mayor cuando tiene como objetivo una megaciudad. En abril de 2023, la autoridad de transportes de Uttar Pradesh, un estado del norte de la India, denunció un ciberataque dirigido contra su sistema de venta de billetes. Bloqueado durante 10 días, el sistema no permitió a los usuarios pagar sus billetes y el municipio se vio privado de una parte sustancial de sus ingresos, informó la CNBC. En agosto de 2023, una de las terminales de gestión de trenes de Chicago sufrió un ataque que paralizó la red durante varias horas. Además de interrumpir el funcionamiento del sistema, el grupo cibercriminal Akira reivindicó el robo de 85 gigabytes de datos sensibles.
Otro tipo de riesgo es el compromiso de los sistemas de navegación o de aparcamiento. En este último caso, las estaciones de recarga de vehículos son los principales objetivos de las intrusiones. Entonces, ¿cómo podemos proteger mejor las infraestructuras de transporte de las ciudades inteligentes?
¿Cómo hacer segura la movilidad en las ciudades conectadas?
La heterogeneidad de los equipos y los actores es un obstáculo importante para el despliegue de una estrategia de ciberseguridad armoniosa, señaló Khobeib Ben Boubaker, responsable de la línea de negocio de seguridad industrial de Stormshield, en 2021, en un documento anterior sobre la protección de las ciudades inteligentes. A esto se añade la diversidad de normativas y repositorios de seguridad (SRI2, RGPD, aplicación pendiente de NIS2, etc.).
Sin embargo, ya existen estrategias de ciberdefensa para las ciudades conectadas, en línea con un enfoque de defensa en profundidad. La cartografía precisa y exhaustiva de los distintos sistemas y equipamientos relacionados con la problemática de la movilidad urbana es un primer paso que reúne a todos los actores implicados. Posteriormente se procederá a la instalación de diferentes niveles de seguridad (gestión de derechos de acceso físicos y digitales, autenticación multifactor, segmentación de redes, gestión de copias de seguridad, cifrado de datos, etc.). El uso de soluciones de ciberseguridad certificadas o cualificadas, en línea con las recomendaciones de la ANSSI en Francia, permite también cumplir la normativa europea, como el RGPD sobre protección de datos personales y la directiva SRI2 sobre ciberresiliencia.
El enfoque de ciberseguridad para la ciudad de hoy y de mañana puede llegar ahora hasta la integración de soluciones de seguridad directamente en los equipos de movilidad urbana. Sin embargo, hay que tener en cuenta las especificidades de estos entornos, a menudo limitados, como la temperatura, la humedad y el polvo. Utilizar soluciones de seguridad adecuadas es la única manera de proteger eficazmente estos equipos, lejos de los bastidores informáticos. Estas soluciones interoperables tendrán que extraer la mayor cantidad de datos posible directamente del terreno. A continuación, estos datos serán analizados por un SOC, cuyo papel consistirá en leer los eventos de seguridad de los distintos sistemas de información de los transportes locales e identificar posibles desbordamientos, disfunciones o amenazas.
Pero esta movilidad urbana más segura sólo podrá ser realmente eficaz si existe una colaboración efectiva entre los actores de la ciberseguridad, el sector y las autoridades locales. La ciudad del mañana ya es móvil y está conectada; sólo queda hacerla segura.