La transformación digital de las infraestructuras de las ciudades es una respuesta a la creciente densificación urbana y también a los requisitos de eficiencia energética y sobriedad. Sin embargo, la transición hacia ciudades cada vez más conectadas plantea interrogantes sobre la ciberseguridad; al fin y al cabo, todo lo que está conectado es potencialmente vulnerable. Además, los ciberdelincuentes han demostrado sobradamente su capacidad para explotar las vulnerabilidades inherentes a estas nuevas arquitecturas. Presentamos una visión general de la superficie de ataque de las ciudades inteligentes.
Al unir sus sistemas esenciales, las ciudades inteligentes ofrecen nuevas perspectivas, pero también amplían su superficie de ataque en el proceso: iluminación, señalización, movilidad urbana, agua, videovigilancia, sistemas de gestión de edificios, energía, aparcamiento, etc. Examinamos estos retos de ciberseguridad con un repaso (no exhaustivo) de los "8 principales" ciberataques a ciudades conectadas y ciudades inteligentes, en orden cronológico inverso.
Estados Unidos, 2023: cuando se clausura temporalmente un sistema de control del agua
En noviembre de 2023, la Autoridad Municipal del Agua de Aliquippa (Pensilvania) sufrió un ciberataque contra sus equipos de control de la presión del agua, informó CBS News Pittsburgh. El sábado 25 de noviembre, el equipo informático de control de la presión del agua perteneciente a la autoridad del agua dejó de funcionar, mostrando en su lugar un mensaje antiisraelí.
El ciberataque tuvo una dimensión internacional, y su autoría fue reivindicada posteriormente por Cyber Av3ngers, un grupo iraní de ciberdelincuentes ya implicado en incidentes similares en Israel.
Inglaterra, 2023: cuando mensajes hactivistas se mostraron en los autobuses
En octubre de 2023, el grupo hacktivista The Dyke Project se apropió de los anuncios en la red de transporte público de Londres. Según el periódico digital Slate, los ciberdelincuentes sustituyeron los anuncios tradicionales por mensajes de Queering the Map, un sitio que permite a las personas LGBT+ compartir mensajes anónimos y geolocalizados.
El organismo público Transport for London confirmó el ciberataque y retiró los anuncios no autorizados, de acuerdo con la política de la empresa.
Polonia, 2023: cuando un ciberataque paraliza el sistema de transporte
En junio de 2023, la ciudad polaca de Olsztyn sufrió un ciberataque que paralizó su sistema de transporte, según informa LeMagIT. Olsztyn, conocida por sus características de ciudad inteligente, incluye un centro de gestión del tráfico, control de intersecciones de tráfico con detección de infracciones, puntos de acceso Wi-Fi en tranvías y un sistema de información meteorológica. El ataque afectó a casi un centenar de intersecciones del centro de la ciudad, interrumpiendo los semáforos y otros elementos vitales del sistema de transporte.
Como consecuencia, se formaron grandes atascos en las principales vías de la ciudad y los ciudadanos tuvieron problemas para comprar billetes de transporte público. Tras el ataque, ZDZ iT – la autoridad de transportes de la ciudad – se vio obligada a desconectar físicamente los servidores de la red para contener la situación.
Ireland, 2022: cuando un residente defrauda al sistema electrónico de aparcamiento
En mayo de 2022, David Young compareció ante el Tribunal Penal de Cork (Irlanda), acusado de explotar una vulnerabilidad en el sistema informático de la empresa privada que gestionaba el sistema de aparcamiento en nombre del Ayuntamiento de Cork. Según la información publicada por el periódico Irish Examiner, Young encontró un fallo temporal durante una actualización del software que permitía modificar manualmente las cuentas de los clientes. A continuación, aprovechó la laguna para aumentar fraudulentamente su crédito de aparcamiento.
La empresa contrató a un consultor informático para resolver el problema, lo que supuso unos costes de análisis y actualización de más de 12.000 euros. Mientras tanto, Young se declaró culpable y pagó estos costes, más el valor del aparcamiento acreditado erróneamente.
China, 2019: cuando una fuga de datos revela un sistema de vigilancia generalizado
En mayo de 2019, se descubrió una fuga de datos que afectaba a un sistema de vigilancia de las ciudades inteligentes chinas. La entrevista del investigador de seguridad John Wethington con el sitio de noticias TechCrunch permitió conocer el alcance de este descubrimiento. El investigador de seguridad encontró una base de datos Elasticsearch expuesta en Internet, que no requería contraseña y contenía gigabytes de datos de reconocimiento facial de cientos de personas, cosechados durante varios meses.
La fuga planteó dudas sobre el uso del reconocimiento facial y los sistemas de vigilancia en las ciudades inteligentes.
Estados Unidos, 2017: cuando los ciberdelincuentes activan las sirenas de emergencia de la ciudad
En abril de 2017, en Dallas, 156 sistemas de alarma de emergencia fueron activados simultáneamente por ciberdelincuentes, informa Forbes. El ataque, que se produjo poco antes de medianoche, se confundió con una alerta meteorológica grave, a pesar de que no había indicios de ningún desastre natural inminente. La Oficina de Gestión de Emergencias de Dallas se vio obligada a intervenir rápidamente para desactivar las alarmas, y colaboró con la Comisión Federal de Comunicaciones para identificar a los autores.
El incidente no sólo generó un importante ruido en la ciudad, sino que provocó un aumento de las llamadas al 911, sobrecargando los servicios de emergencia. Aunque los sistemas se restablecieron rápidamente, el alcalde de la ciudad, Mike Rawlinson, se apresuró a reaccionar al incidente en la revista Forbes, explicando: "Este es otro serio ejemplo de la necesidad que tenemos de actualizar y salvaguardar mejor la infraestructura tecnológica de nuestra ciudad".
Finlandia, 2016: cuando un ataque DDoS corta la calefacción de apartamentos
En noviembre de 2016, en Lappeenranta – una ciudad finlandesa de 60.000 habitantes – un ciberataque DDoS interrumpió los sistemas de control de dos edificios residenciales, dejando a los residentes sin calefacción ni agua caliente, según la información publicada por Forbes. Los edificios sufrieron un ataque que provocó que sus sistemas de calefacción y agua caliente se reiniciaran repetidamente, dando lugar a un bucle sin fin que acabó impidiendo su funcionamiento normal.
Aunque las temperaturas locales no estaban en niveles extremadamente bajos en el momento del ataque, el incidente representó un nuevo avance en la ciberseguridad de los edificios conectados.
Estados Unidos, 2014: cuando investigadores de ciberseguridad controlan los semáforos
En agosto de 2014, investigadores de la Universidad de Michigan, en colaboración con una agencia local de carreteras, revelaron una vulnerabilidad en los sistemas de gestión de semáforos. Utilizando ordenadores portátiles corrientes, pudieron controlar fácilmente 100 semáforos del estado de Michigan alterando los tiempos en las intersecciones para crear una serie de luces verdes.
Esta información, publicada en su momento por el periódico británico Daily Mail, puso de manifiesto los fallos de seguridad de un sistema utilizado en 40 estados de Estados Unidos, entre ellos el uso de redes inalámbricas no seguras y contraseñas por defecto.
Está claro que el aumento de la conectividad en los sistemas urbanos está abriendo nuevas puertas a los ciberdelincuentes. Desde el funcionamiento de los semáforos hasta los sistemas de vigilancia comprometidos, todos estos incidentes demuestran la importancia de aplicar una mayor ciberseguridad para proteger las infraestructuras vitales.