Movilidad urbana y ciberseguridad, en el corazón de la ciudad inteligente

Antonio Martínez Algora Responsable Técnico de Stormshield Iberia

La transformación digital de las infraestructuras de las ciudades es una respuesta a la creciente densificación urbana y también a los requisitos de eficiencia energética y sobriedad. Sin embargo, al unir sus sistemas esenciales, las ciudades inteligentes amplían su superficie de ataque en el proceso: iluminación, señalización, agua, videovigilancia, sistemas de gestión de edificios, energía, aparcamiento, movilidad urbana…; todas son susceptibles de ser atacadas. Además, los ciberdelincuentes han demostrado sobradamente su capacidad para explotar las vulnerabilidades inherentes a estas nuevas arquitecturas.

En el caso de la movilidad urbana, donde se incluyen tanto operadores históricos de transporte público como startups de movilidad activa y medios de transporte privados (incluidos los coches), esta realidad es más patente si cabe, solo hay que echar un vistazo a los ciberataques contra las infraestructuras de transporte y la movilidad urbana. De hecho, uno de los mayores retos a los que se enfrentan la mayoría de los servicios de transporte es la falta de protección contra las ciberamenazas. Así lo indica un informe de ENISA, la agencia europea de ciberseguridad, donde destaca la vulnerabilidad de este sector ante los ciberataques. Entonces, ¿cómo asegurar la movilidad de las ciudades conectadas?

Los retos de la ciberseguridad

Hoy en día, la movilidad urbana conectada permite optimizar los flujos de tráfico. Uno de los casos más conocidos es el de Londres, con peajes a la entrada de la ciudad, pero si también puede tratarse de semáforos u otras cámaras de videovigilancia, que están equipadas con sensores inteligentes para recoger datos sobre el tráfico. En concreto, todos estos servicios conectados pretenden reducir los efectos de la congestión y organizar mejor el tráfico durante las horas punta.

Las interfaces conectadas también se encuentran en la mayoría de los servicios de movilidad activa, en las estaciones de recarga, así como en las aplicaciones utilizadas para la reserva de equipamiento, bicicletas o patinetes. Las redes conectadas ofrecen entonces la posibilidad de coordinar las distintas redes de transporte para facilitar la interoperabilidad entre medios de transporte. El MaaS (o movilidad como servicio) es, pues, uno de los ámbitos clave de las políticas de movilidad urbana.

Sin embargo, estas innovaciones plantean nuevos retos para la ciberseguridad. Porque la ciudad conectada suele ser sinónimo de vulnerabilidades. En 2022 se dispararon los ciberataques oportunistas dirigidos contra las infraestructuras de transporte conectadas en las ciudades, como señala ENISA. Pero no son los únicos: algunos ataques, también basados en la explotación de brechas de seguridad, pueden dirigirse a terminales de uso compartido de bicicletas o patinetes de acceso abierto para desviar los datos personales y la información bancaria de los usuarios, mientras que otros, como el malware o los ataques DDoS, se dirigen explícitamente a los servicios de movilidad urbana. En el sector del transporte, aunque las vulnerabilidades afectan "en particular a los sistemas informáticos", como destaca ENISA, esto no significa que las redes OT no sean un objetivo.

Al igual que en otros verticales, el ransomware sigue siendo el arma preferida de los ciberdelincuentes. Estos ataques aumentan cada año y si bien las empresas ferroviarias suelen ser los objetivos principales, cuando se trata de ciberataques en el mundo del transporte, todo el sector se ve afectado.

Principales ciberataques

Aunque todos los ciberataques son potencialmente dramáticos, aquellos dirigidos contra objetivos sensibles que puedan poner en riesgo vidas humanas, pueden ser devastadores. Tal es el caso de los semáforos. Un ataque contra estos dispositivos encargados de regular el tráfico podría provocar que todos se pusieran en verde al mismo tiempo, generando graves accidentes de tráfico, según datos de la web especializada a/o proptech. Y esta situación no ha pasado desapercibida para algunos investigadores.

En 2014, un equipo de la Universidad de Michigan logró hackear el flujo de datos sin cifrar para controlar el color de los semáforos, alterando la visualización y provocando atascos en el proceso. Esta experiencia sirvió de ejemplo para que otras ciudades aplicasen un principio de segmentación entre las redes conectadas a los semáforos y las redes generales de transporte urbano.

Además de los ciberataques dirigidos directamente a los sistemas de movilidad urbana, los intentos de sabotaje o secuestro de los servicios de movilidad compartida también son una amenaza muy real. Muy cercano es el caso del ataque dirigido contra el Consorcio Regional de Transportes de Madrid (CRTM) el cual comprometió la seguridad de las bases de datos que contienen información de los titulares de tarjetas de transporte público. Otros ejemplos destacables son el lanzado contra la autoridad de transporte de Uttar Pradesh, un estado del norte de la India, y que consiguió bloquear durante 10 días el sistema de venta de billetes, o el perpetrado por el grupo de ransomware Akira contra una de las terminales de gestión de trenes de Chicago. El incidente, además de paralizar la red durante varias horas, se saldó con el robo de 85 gigabytes de datos sensibles.

Por último, los sistemas de navegación o de aparcamiento son también objeto de riesgo. En este último caso, las estaciones de recarga de vehículos son los principales objetivos de las intrusiones.

¿Cómo proteger la movilidad en las ciudades conectadas?

La heterogeneidad de los equipos y de los actores es un obstáculo importante para el despliegue de una estrategia de ciberseguridad armoniosa, señalaba Khobeib Ben Boubaker, responsable de la línea de negocio de seguridad industrial de Stormshield, en 2021, en un documento anterior sobre la protección de la ciudad inteligente. A esto se añade la diversidad de normas y repositorios de seguridad (SRI2, GDPR, la aplicación pendiente de NIS2, etc.).

Sin embargo, ya existen estrategias de ciberdefensa para las ciudades conectadas, en línea con un enfoque de defensa en profundidad.

La cartografía precisa y exhaustiva de los distintos sistemas y equipamientos relacionados con la problemática de la movilidad urbana es un primer paso que reúne a todos los actores implicados. A continuación, se procederá a la implantación de diferentes niveles de seguridad (gestión de derechos de acceso físicos y digitales, autenticación multifactor, segmentación de redes, gestión de copias de seguridad, cifrado de datos, etc.). El uso de soluciones de ciberseguridad certificadas o cualificadas, en línea con las recomendaciones de la ANSSI en Francia, permite también cumplir la normativa europea, como el GDPR sobre protección de datos personales y la directiva SRI2 sobre ciberresiliencia.

El enfoque de la ciberseguridad en la ciudad actual y del mañana puede llegar ahora hasta la integración de soluciones de seguridad directamente en los equipos de movilidad urbana. Sin embargo, hay que tener en cuenta las especificidades de estos entornos, a menudo limitados, como la temperatura, la humedad y el polvo.

La concienciación es otro factor a tener en cuenta. Estamos asistiendo a un fuerte aumento de la concienciación, pero es necesario extenderla a todos los sectores de la población dentro de las autoridades locales, y apoyarla con medidas prácticas para garantizar que la ciberconcienciación arraigue a largo plazo. La utilización de productos de seguridad homologados y algunas buenas prácticas bastan por sí solas para dar un salto cualitativo en materia de seguridad informática.

Una mejor ciberseguridad

Está claro que el aumento de la conectividad en los sistemas urbanos está abriendo nuevas puertas a los ciberdelincuentes. Desde el funcionamiento de los semáforos hasta los sistemas de vigilancia comprometidos, todos estos incidentes demuestran la importancia de aplicar una mayor y mejor ciberseguridad para proteger las infraestructuras vitales.

Utilizar soluciones de seguridad adecuadas es la única manera de proteger eficazmente estos equipos, lejos de los racks informáticos. Estas soluciones interoperables tendrán que extraer la mayor cantidad de datos posible directamente del terreno. A continuación, estos datos serán analizados por un SOC, cuyo papel consistirá en leer los eventos de seguridad de los diferentes sistemas de información de los transportes locales e identificar posibles desbordamientos, disfunciones o amenazas.

Pero esta movilidad urbana más segura sólo podrá ser realmente eficaz si existe una colaboración efectiva entre los actores de la ciberseguridad, la industria y las autoridades locales. La ciudad del mañana ya es móvil y está conectada; únicamente falta hacerla segura.

En el libro blanco sobre ciberseguridad para autoridades locales, Stormshield expone los retos a los que se enfrentan las autoridades locales para asegurar su transformación digital, así como las soluciones y perspectivas que les permitirán seguir cumpliendo su misión de servicio público en el futuro.

Antonio Martínez Algora, Responsable Técnico de Stormshield Iberia