Para quien no lo sepa: España es un referente mundial en smarts cities. Estudios, informes o estadísticas así lo demuestran. Ciudades como Santander o Málaga están a la vanguardia de la digitalización en sus infraestructuras. La Red Española de Ciudades inteligentes (RECI), formada en el 2011, en una de las grandes –y de las primeras– plataformas dedicadas a este sector. Nuestro país es el tercero más urbanizado de la UE. Y se sigue avanzando.
Pese a ello, no hay que dejarse llevar por la ilusión, las prisas e incluso la moda –76 municipios españoles se autodenominan, con mayor o menor criterio, como smart–. Debajo de toda esta reciente subcultura, surgen varios problemas: el Plan Nacional de Ciudades Inteligentes, una buena estrategia pero desoída, o la incapacidad de los ayuntamientos para informar a los ciudadanos sobre esta evolución (que existe y está demostrada), se manifiestan como dos razones relevantes a tener en cuenta. Aunque quizá la más importante sea de la que menos se suele escribir. Si estas ciudades inteligentes basan su potencial en la digitalización, ¿cómo es que casi nadie cuenta con la ciberseguridad?
Patricia Tejado, directora de Sector Público de Secure e-Solutions de GMV, tiene bastante claro que cuando empezaron los primeros pliegos de smarts cities todo se enfocaba a las plataformas inteligentes, pero en ningún momento aparecían cuestiones relacionadas con la ciberseguridad. “Se intuían cosas, pero se quedaba en muy poco. Es cierto que en los últimos pliegos hay un ligero avance: un requisito no funcional que solicita que haya un cumplimiento no formativo que muestre información sobre ello. Pero ahí se queda”.
Cuando se han llevado a cabo los diferentes planes para smarts cities (algunos supervisados por instituciones muy importantes) no se ha tenido en cuenta la ciberseguridad. No ha habido un foco de interés por parte de nadie. “A lo mejor es que no se han dado cuenta”, señala. Pero alrededor del mundo ya habido ataques a infraestructuras de seguridad. Como en Nueva York, donde han sido vulnerados más de 200.000 sensores. “Muchas veces nos despreocupamos de aspectos que son cruciales donde el impacto final es importante”.
Según Tejado, en cualquier ciudad puede haber apagones generalizados. “Parece obvio, pero en una ciudad hay hospitales, que son necesarios. Se juega con las personas, con la alimentación, con los daños personales. Las fechorías pueden ser considerables. Y sí: a veces nos ponemos alarmistas, pero es que no queda más remedio. En ciberseguridad no hay una reacción hasta que no se ve un ataque. Tenemos que tomar una actitud más proactiva. Tomar estas medidas desde el minuto cero va a repercutir en un mayor beneficio”.
Pero para ella, aunque se tomen las medidas oportunas, la reacción siempre será difícil. ¿Qué hacer entonces? Se pueden establecer medidas para paliar ataques, pero tampoco se puede diseñar una ciudad “superfuerte” y “superblindada”: una vez conectado, ya se está expuesto.
[Le puede interesar: La ciberseguridad como objetivo común de ciudadanos, empresas y administración]
Empezar desde abajo: los sensores, “el eslabón más débil”
En la parte más baja de la cadena de las smarts cities se encuentran los sensores de movimiento y captura, todo lo que debe tener, como mínimo, una ciudad inteligente que se precie. Tejado incide en que, en primer lugar, se debe hacer una auditoría de todos dispositivos que desplieguen en la ciudad y que estén debidamente verificados para que cumplan con todos los requisitos. “Es el primer nivel de fallo. Ahora no hay un nivel de seguridad preestablecida. Salen de fábrica, no están regulados, es fácil saber como entrar”.
La experta considera que ya hay una serie de servicios y recomendaciones para cualquier ciudad o gestor de ciudad sobre qué medidas de seguridad se pueden tener. Pero si todavía hay problemas con el eslabón más débil… “Despreocuparte de ciertas partes da vía libre a cualquier persona que quiera entrar. Estas medidas de seguridad hay que cubrirlas en todos los aspectos. Tiene que haber control. A nivel de desarrollo de aplicaciones que tratan estos sensores –explica–, se debe tener un almacenamiento de datos acorde con unas medidas de seguridad. Como por ejemplo, los datos de ciudadanos que deben estar de acuerdo con medidas y leyes de seguridad”.
A la pregunta sobre si GMV tiene algún producto, Tejado contesta que no: que en GMV cuentan con servicios que verifican que todo esté securizado. “Nuestra visión es que miramos diferentes puntos en los que hay que hacer foco, prácticamente desde el diseño de una plataforma, donde ya se está perfilando una ciudad”. Ella aconseja que, como en cualquier aplicación TIC debe haber un grupo de expertos en ciberseguridad: tanto en aspectos de seguridad de los datos, como en seguridad en los accesos, en los sistemas de monitorización para estar preparados para posibles ataques… Y tener un equipo que pueda tener alertas para poder actuar y cortar un ataque.
“Nuestra visión es completa, por eso pensamos que hay que proteger los datos, tanto para autenticación como para otras cosas: contraseñas, claves, DNI electrónico o temas de actualización. No hay ninguna estandarización ni un control para estos equipos. Disponer de mecanismos para evitar la manipulación no autorizada de dispositivos, ya sea aplicaciones móviles, ordenadores de ciudadanos, cualquier canal o evento debe tener un sistema centralizado que monitorice y que pueda velar para no haya ningún tipo de incidente que sea sospechoso”.
Aun así, ni en GMV son infalibles: y eso que en esta compañía ya cuentan con el equipo experto en ciberseguridad que comenta Tejado. “A sabiendas de que, pongamos la seguridad que pongamos, el riesgo a que entren los ciberdelincuentes siempre estará”.
