Una de mis cosas favoritas en las conferencias de la industria es adivinar cuál será la palabra de moda que se escuchará en casi todas las ponencias y reuniones. Normalmente, no tenemos que esperar mucho para saber cuál y el Black Hat de este año no ha sido una excepción: las ciudades inteligentes.
El término no es nuevo y el concepto se intuye. Una ciudad inteligente es aquella que aprovecha la tecnología para ayudar a sus habitantes a prevenir las inundaciones, reducir el tráfico, automatizar la recogida de basura, etc. Qué bien suena, ¿verdad?
Pero hay un inconveniente: los dispositivos y sistemas inteligentes permiten que las tecnologías de la ciudad inteligente se conecten a Internet; además, cuentan con algunas vulnerabilidades extra que podrían ser la causa de problemas en el mundo real.
Muchas veces las personas hacen caso omiso de los problemas del IdC o se burlan de los creadores de tecnología por permitir que alguien pueda espiar la cámara de alguien o cambiar la temperatura del termostato de alguien. Sin embargo, cuando nos referimos a dispositivos que pueden controlar el nivel del agua en presas o alertar a los ciudadanos sobre calles inundadas (o de niveles altos de radiación), la seguridad se convierte en un asunto muy importante.
Durante el Segundo día de las conferencias, los investigadores de Threatcare e IBM X-Force Red compartieron un estudio conjunto en el que describieron amenazas de día cero que encontraron en cuatro tecnologías de ciudades inteligentes.
Mediante los motores de búsqueda del Internet de las Cosas, Shodan y Censys, los investigadores averiguaron que el uso de dispositivos inteligentes se extiende sobre todo en ciudades de Estados Unidos, Europa y otros lugares. En total se hallaron 17 vulnerabilidades, y más de la mitad eran críticas.
El estudio también arrojó otras afirmaciones, como que el equipo descubrió que un país europeo usaba un dispositivo vulnerable para detectar la radiación y que en EE.UU. sucedía lo mismo con un dispositivo de control de tráfico. Tras el hallazgo, avisaron a las autoridades o agencias para que lo solucionaran
La cuestión es que dichas vulnerabilidades no eran complicadas. Los investigadores dijeron que las encontraron muy rápido y que los distribuidores podrían solucionar muchas de las mismas con una serie de medidas básicas.
Como puedes ver, hablamos de amenazas reales. Hay que señalar que los distribuidores se mostraron cooperativos con los investigadores y publicaron parches para solucionar las vulnerabilidades. Lo que no podemos decir es si los municipios aplicaron los parches en un corto plazo de tiempo.
Para mostrar las consecuencias, los investigadores simularon el funcionamiento de una presa para mostrar en acción los dispositivos analizados en su estudio (emplearon un sensor inteligente para controlar el nivel del agua). Mediante un ataque que les llevó menos de un minuto, el equipo vació la presa y desbordó el río contiguo, lo que provocó la inundación de la ciudad próxima.
Repetimos: El equipamiento empleado no es un dispositivo IdC extraño, sino que se utiliza en ciudades. Los gobiernos y municipios confían en estos dispositivos para que realicen tareas diarias. Si los investigadores de seguridad pudieron encontrar vulnerabilidades con un esfuerzo mínimo, es solo cuestión de tiempo antes de que los ciberdelincuentes hagan lo mismo o encuentren algo peor.
No queremos alarmar a nadie, pero las ciudades deberían seguir los consejos de estos investigadores y más cuando las ciudades inteligentes son una industria en crecimiento cuya inversión se espera que alcance los 135.000 millones de dólares en los próximos 3 años. A diferencia de la mayoría de los dispositivos IdC, en este caso hablamos de aparatos que desempeñan labores mucho más importantes que pedir comida a domicilio ya que su función es proteger lo más importante de una ciudad: sus ciudadanos.