¿Deberíamos preocuparnos más por la seguridad de las ciudades inteligentes?

¿Cuánto debería preocuparnos la seguridad industrial?

Imagínate que alguien apaga todos los semáforos de Nueva York a las cuatro de la tarde.

La idea me ronda la cabeza desde que Ryan Naraine lo mencionó en una mesa redonda sobre ciudades inteligentes en Black Hat.

https://media.kasperskydaily.com/wp-content/uploads/sites/88/2020/06/30161412/smart-cities-featured.jpg

Aunque la conversación era, principalmente, entre varios investigadores técnicos, no podía dejar de pensar en la idea de que los semáforos fallaran en una de las ciudades más conglomeradas del mundo. Hoy en día, todo está conectado online (tu teléfono, la TV, el reloj, el seguidor de actividad, hasta tu puerta principal). Pero ¿sabías que los semáforos, los sistemas de tren y la electricidad también están conectados?

La verdad es que da miedo pensar en lo que podría suceder si uno de los sistemas industriales vitales para nuestras vidas cotidianas se apagara.

¿Luz?
¿Trenes?
¿Semáforos?

Cualquiera de los tres podría ser mortal si se usa de forma inadecuada. Pero, como sucede con tantas otras cosas, la seguridad para las ciudades inteligentes no está donde debe estar.

https://www.instagram.com/p/BIqLhaeA32B/?taken-by=kasperskylab

Los trámites burocráticos y los tiempos de desarrollo hacen que muchas veces la seguridad pase a un segundo plano.

La discusión sobre la preocupación por la seguridad puede resultar molesta. No sirve de nada que se hable al respecto dentro de la comunidad de seguridad si las personas de a pie ni se lo plantean (y debería preocuparles).

Cuando se trata de seguridad, a menudo nos centramos en las cosas que utilizamos a diario: ordenadores, dispositivos móviles, seguidores de actividad…, pero dichos objetos, por muy esenciales que parezcan, son lujos, no necesidades diarias. Da dolor de cabeza que los hackeen, pero no son dispositivos que puedan, digamos, matarte.

Durante nuestra sesión de preguntas y respuestas de hace unas semanas, alguien preguntó: “Me preguntaba si tenéis idea de cuando empezaremos a ver siniestros en masa y, quizá, muertes causadas por el hackeo de sistemas de control industrial. ¿Es posible ahora? Lo sucedido con el ataque a la planta de acero alemana, el malware BlackEnergy y el ataque al control de tráfico aéreo puede que sea el prólogo de algo que está por llegar”.

Brian Bartholomew respondió: “Gran pregunta. Difícil de contestar para los expertos. En mi opinión, es cuestión de tiempo que alguien en algún lugar decida cruzar esa línea y empiece a causar siniestros. Con todos los sistemas críticos que siguen sin seguridad y que, por tanto, son vulnerables a los ataques, solo es necesario que un loco comprenda el funcionamiento general de los sistemas de control industrial para causar daños en masa”.

“Por ello, la protección de los sistemas de control industrial debería ser algo prioritario para los creadores y otros expertos en el campo. Necesitamos más voces como la tuya que formulen este tipo de preguntas a las personas adecuadas. Con respecto a quién lo hace… bueno, creo que nadie lo está haciendo ‘bien’. Hacerlo bien no es suficiente. Debe ser impenetrable y, hoy en día, no es el caso. No estamos hablando de un unicornio mitológico. Es algo que ya ha sucedido y que solo puede ir a peor”.

Vitaly Kamluk respondió: “Sinceramente, no quiero ni pensarlo. La última vez que pensé en la posibilidad de que un malware cruzara del mundo virtual al físico para destruir un objeto físico, Stuxnet apareció al mes siguiente. Solo podía preguntarme ‘¿por qué tan pronto?’. Tengo el mismo sentimiento cada vez que oigo hablar sobre desastres repentinos como aviones estrellados, trenes descarrilados, etc.”

“Un investigador de seguridad conocido como halvarflake dijo este año que ‘podemos tener y/o ser dueños de los objetos físicos. Los sistemas informáticos tienen una dimensión adicional, que es el control: puede que tengas un ordenador, pero con el diseño actual de los sistemas no puedes saber quién tiene de verdad el control'”.

“Se trata de una cuestión que no me deja dormir porque la idea que tenemos sobre el control de los sistemas informáticos da lugar a una infinidad de posibilidades en las que ciertas personas que usan su poder contra otras podrían provocar tragedias”.

Así que, ¿qué podemos hacer al respecto?

Para empezar, como ciudadanos globales, podemos, y debemos, prestar atención a lo que los políticos electos hacen para mantenernos a salvo.

La educación y el conocimiento son vitales. Este tema debe cruzar el campo de la seguridad para llegar a las noticias de primera plana. Hackear estos sistemas sensibles solo podría dar lugar a desastres. Es algo que nos debería preocupar más que un escándalo entre famosos o el hackeo de una web de citas.

Consejos