CNET también está disponible en español.

Ir a español

Don't show this again

Ciencia

Ciudades inteligentes en todo el mundo sufren vulnerabilidades: expertos

Investigadores encontraron 17 vulnerabilidades en los sistemas para controlar señalizaciones de tráfico y niveles de agua en varias ciudades importantes del mundo.

Digital skyscrappers with wifi technology and network connection concept.

Investigadores en seguridad descubrieron múltiples vulnerabilidades en sistemas urbanos inteligentes utilizados en varias ciudades para controlar tráfico y advertencias de desastre. 

Krunja / Getty Images

Cuando vives en una ciudad inteligente, tienes mucho más de qué preocuparte que del incremento de la renta.

Las ciudades están evolucionando constantemente e introducir tecnología para hacer los procesos más convenientes pareciera un paso natural. Estas actualizaciones tecnológicas multimillonarias a ciudades importantes están diseñadas para hacer la vida cotidiana más sencilla, ya sean cámaras Web conectadas a los semáforos en San Diego  o sensores solares para detectar alarmas de incendios en Louisville, Kentucky.

Pero esas comodidades de alta tecnología implican riesgos de vanguardia. Las ciudades con más infraestructura conectada abren la puerta a piratas informáticos que buscan vulnerabilidades, una tendencia que hemos visto a través del aumento en el número de dispositivos conectados en nuestras vidas. Pero en el caso de las ciudades inteligentes, los hackers que explotan un agujero en la seguridad no sólo afectan a un individuo o familia, sino potencialmente a millones de residentes.

Investigadores de seguridad de IBM y Threatcare encontraron 17 nuevas vulnerabilidades en sistemas urbanos inteligentes alrededor del mundo, lo que habría permitido a potenciales atacantes cambiar las señales de tráfico y emitir advertencias de inundación, incluso cuando no ocurriera nada.

Jennifer Savage, investigadora de seguridad de Threatcare, y Daniel Crowley, director de investigación de X-Force Red de IBM, revelaron sus hallazgos el jueves en la conferencia de ciberseguridad Black Hat, en Las Vegas.

Los investigadores contactaron a las empresas involucradas, que dijeron que a partir de entonces corrigieron las vulnerabilidades y emitieron parches para sus aparatos. No queda claro, sin embargo, si todas las ciudades que utilizan estos sistemas han instalado la actualización.

Estas vulnerabilidades son un recordatorio de que quizá haya otros riesgos que no han sido detectados —y que los hackers están buscando constantemente.

Ciudad abierta

Muchas de las vulnerabilidades descubiertas por los dos investigadores fueron fáciles de explotar, dijeron ambos en una entrevista previa al Black Hat el 30 de julio. Eso incluía sistemas urbanos completamente accesibles gracias a las contraseñas y redes predeterminadas expuestas en línea para que cualquiera pueda encontrarlas.

"Estos son dispositivos que pueden manipularse sin ningún tipo de conocimiento previo", dijo Crowley. "Estos son el tipo de problemas de aplicación de seguridad básica. No debes exponer ningún dispositivo a todo Internet".

Los investigadores analizaron tres sistemas de ciudad inteligente: Libelium, Echelon y Battelle. Sus sistemas han sido utilizados para detectar inundaciones en Argentina, controlar semáforos en Francia, y monitorizar tráfico en Massachusetts, según los casos de estudio de cada compañía.

Echelon dijo que confirmó las vulnerabilidades y notificó a sus clientes para que aplicaran las actualizaciones.

Un vocero de Battelle aseguró que la compañía había "rediseñado su interfaz para asegurar las vulnerabilidades".

Un portavoz de Libelium dijo en un comunidado que la empresa ha emitido actualizaciones de seguridad para sus clientes.

Reproduciendo: Mira esto: Samsung apuesta por la vida conectada con SmartThings
0:56

Libelium no respondió a una solicitud de comentario.

Con acceso a dichos controles, dijo Savage, los posibles hackers habrían podido realizar ataques en varios sitios causando pánico en las ciudades. Recordó las falsas alarmas que se desataron en Dallas, Texas, luego de que hackers activaron sirenas contra tornados con una señal de radio pirata.

Durante su investigación, Savage y Crowley encontraron muchos de estos dispositivos para ciudades inteligentes en línea, disponibles públicamente en Shodan, un motor de búsqueda para encontrar dispositivos conectados a la eed. A partir de ahí, pudieron ver quién había comprado los dispositivos, en qué ciudad estaban instalados y para qué se utilizan. En muchos casos, fueron capaces de ver también que estos dispositivos utilizaban contraseñas predeterminadas y abiertas para robarse el control.

Pero no te preocupes, no utilizaron sistemas en operación para hacer las pruebas de sus ataques. Ambos gastaron miles de dólares comprando estos sistemas de ciudad inteligente por su cuenta para desarmarlos y encontrar los problemas de seguridad, explicó Savage.

Una ciudad inteligente bajo un ataque

Las vulnerabilidades variaban de aparatos designados para revisar los niveles de agua a controles de tráfico y de acceso a controles industriales.

Battelle ofrece un servicio llamado V2I (vehículo a infraestructura) Hub, el cual está siendo probado por la Agencia Federal de Carreteras de Estados Unidos, aunque no se utiliza en ninguna carretera pública, aseguró la compañía. Lo que hace es monitorizar el tráfico y ayuda a determinar el tiempo de señalización para autos conectados, de acuerdo con registros de la ciudad (PDF).

Se supone que debe controlar cuántos automóviles hay en la carretera y controlar las señales para ayudar con el flujo del tráfico. Si un hacker se hiciera cargo, Crowley dijo que podría hacer que los problemas de tráfico fuesen "mucho peores".

Para el sistema de control de inundaciones, Crowley y Savage pudieron hacerse con el control de las máquinas y hacer que activaran las advertencias, incluso cuando no había ni una gota de agua.

El sistema, ofrecido por Libelium, tiene vulnerabilidades críticas que permite a los hackers tomar el control de estos sensores inalámbricos a través de Internet. Lo que significa que un atacante también podría silenciar las advertencias de inundación, lo que podría poner a la ciudad en peligro.

"A algo tan vulnerable, se le está confiando algo tan importante", dijo Savage.

Y el sistema de ciudad inteligente de Echelon, i.LON, es utilizado para controlar los semáforos en ciudades como Dublín, Irlanda. Savage y Crowley descubrieron que muchos de estos dispositivos en línea tenían contraseñas predeterminadas.

Una ciudad inteligente que esté siendo atacada por hackers podría padecer muy graves consecuencias, con el poder de bloquear las calles, advirtieron los investigadores.

"Cuando la gente se dé cuenta de que algo anda mal, podría ser demasiado tarde para prevenir o revertir cualquier daño provocado", explicó Crowley.

Parcha tu ciudad

Pero no todo es fatalidad para las ciudades que quieren mantenerse conectadas.

Los sensores inteligentes son útiles para los funcionarios de la ciudad que buscan hacer que los servicios funcionen de manera mucho más eficiente. El sistema de advertencia de inundaciones ha salvado vidas, mientras que las luces inteligentes han ayudado a las ciudades a ser más amigables con el medio ambiente.

Aún así, es importante que estos funcionarios también tengan cuidado con lo que están implementando y continúen manteniendo la ciberseguridad en sus ciudades.

"¿Cuál sería el impacto si las luces no se encienden?", cuestionó Michael Lee Sherwood, director de tecnología e innovación de Las Vegas. "Se trata de seguridad y seguridad ahora".

Sherwood es responsable de mantener segura la ciudad inteligente de Las Vegas y dijo que los funcionarios de la ciudad siempre están buscando vulnerabilidades antes de lanzar la tecnología al público. Él insta a otras ciudades a hacer lo mismo, ya que los riesgos sólo aumentarán en la medida en que las ciudades inteligentes se vuelvan más comunes.

"En algún momento sólo será infraestructura. La gente esperará automatización en las luces y en el aparcamiento", dijo Sherwood. "El término 'ciudad inteligente' desaparecerá, pero no así la necesidad de seguridad. Sólo se incrementará".

Para empezar, las ciudades deberían cambiar las contraseñas de estos dispositivos conectados al momento en que los instalen y también elevar las restruicciones para que no cualquier persona pueda encontrarlas en línea.

Lo más importante, sin embargo, dijo Savage, cuando aparezcan las vulnerabilidades de seguridad, los funcionarios de la ciudad deben reconocerlas y arreglarlas lo antes posible.

"Espero que cuando se trata de algo tan grande e importante como una ciudad, la gente sea más cuidadosa y esté más atenta y busquen los parches", dijo Savage.