Para muchos, la idea de un grupo de maliciosos hackers que interviene una ciudad todavía suena como la trama de una mala película. No obstante, podría ser una realidad antes de lo que pensamos.
Primero se va la luz. No está claro qué ha salido mal, pero los coches están empezando a saturar las calles; los semáforos no funcionan, y algo parece haber salido mal en el metro también.
Nadie puede llegar al trabajo. E incluso si pudieran, ¿qué podrían hacer? El ciberataque ha parado a una ciudad.
Por supuesto, eso no ha sucedido todavía. Para mucha gente, la idea de un grupo de maliciosos hackers que tiran una ciudad todavía suena como la trama de una mala película. Puede que no sea tan loco como suene, expertos en seguridad creen que la creciente dependencia de las ciudades a la tecnología y las formas aleatorias en que estos sistemas se conectan podrían quedar vulnerables ante alguien que quiera provocar el caos.
Las ciudades, al igual que el resto del mundo, ahora dependen de una gran cantidad de computadoras. Pero los sistemas utilizados para hacer que incluso los sistemas más sensibles funcionen pueden contener fallas de seguridad. Mientras que el riesgo de un ataque real puede no ser inminente, la amenaza se cierne sobre los investigadores de seguridad cibernética, que advierten que los gobiernos locales no están preparados.
“Los potenciales ataques superficiales en la ciudad son un gran desafío”, dijo David Raymond, director adjunto del Laboratorio de Seguridad TI del Virginia Tech. “Las vías digitales entre todas las entidades y las organizaciones de la ciudad a menudo no están bien gestionadas. En muchos casos, no hay una arquitectura de seguridad o incluso una comprensión integral de cómo se ve una ciudad”.
Los investigadores han descubierto vulnerabilidades con las nuevas tecnologías que se están utilizando en muchas ciudades.
El año pasado, investigadores encontraron que el sistema de monitoreo de tráfico utilizado en decenas de ciudades estadounidenses, incluyendo Washington DC, pudo permitir que un malicioso hacker pudiera falsificar datos y manipular los semáforos de la ciudad. Los oficiales de DC están revisando la seguridad de sus sensores de tráfico. Hace unos años, dos ingenieros de tráfico de Los Ángeles se declararon culpables de piratería contra el sistema de tráfico de la ciudad y de ralentizar el tráfico en las intersecciones clave en apoyo a una protesta laboral.
En el 2008, el diario Telegraph informó que la policía polaca creía que un joven de 14 años fue el responsable de causar el descarrilamiento de un tranvía que dejó a 12 personas heridas, una hazaña que supuestamente logró con el control remoto de una televisión con el cual tomó el control de la dirección y las señales el sistema de tranvía.
Los sistemas de transporte son un “punto de presión” clave para las ciudades; son lugares donde la tecnología que usualmente está bien asegurada se vuelve más vulnerable a un ataque dirigido y puede desembocar hacia toda una ciudad, de acuerdo con Raymond y los investigadores Gregory Conti, un académico en ciberseguridad en West Point, y Tom Cross, director de tecnología de la firma de seguridad cibernética Drawbrigde Networks. Raymond, Conti y Cross presentaron su investigación en la conferencia Black Hat USA en Las Vegas a principios de agosto.
“Cada persona está mirando a su pequeño silo y defendiendo su departamento o agencia con diversos grados de éxito, pero no aprecian las relaciones entre su pieza del rompecabezas y las piezas de los otros”, dijo Cruz.
En algunos casos, los sistemas industriales más antiguos que nunca fueron diseñados para estar en línea terminan haciendo su camino hacia el Internet. Los investigadores que utilizan Shodan, un motor de búsqueda utilizado para identificar sistemas conectados a la red, han descubierto rutinariamente semáforos, instalaciones de tratamiento de agua e incluso controles para plantas de energía en línea.
Este verano, los investigadores dijeron que encontraron vulnerabilidades de seguridad que podrían ser utilizadas para cerrar una planta de energía nuclear. Las vulnerabilidades involucraban conmutadores Ethernet de red utilizados en entornos industriales, de acuerdo con los investigadores Colin Cassidy, Robert Lee, y Eireann Leverett.
Los investigadores dieron a conocer los problemas a los fabricantes de switches y dijeron que las correcciones vienen en camino. Sin embargo, a ellos les preocupa que los lentos parches para este tipo de problemas pueden dejar algunos sistemas vulnerables afectados durante años.
Incluso encontrar esa clase de problemas puede ser difícil. El acceso a las plantas de energía y de tratamiento de agua es difícil. Este tipo de instalaciones industriales no es tradicionalmente objeto de ataques por los delincuentes cibernéticos con motivaciones financieras, por lo que los investigadores tienen menos probabilidades de detectar problemas potenciales, dijo Cruz.
Para empeorar las cosas, los atacantes son cada vez más fuertes. “El nivel de sofisticación de los atacantes está aumentando en todos los ámbitos”, dijo Conti.
El sofisticado malware que tradicionalmente sólo se puede acceder a través de agencias gubernamentales puede terminar en manos de los ciberdelincuentes y puede ser utilizado por alguien con el objetivo de causar destrucción, dicen los investigadores.
Mientras tanto, las ciudades están preocupadas por los riesgos de seguridad cibernética y a menudo tienen dificultades para atraer los conocimientos adecuados y asegurar los recursos suficientes para hacer frente a estos problemas en el largo plazo, dicen los investigadores. “Un político puede tener algún evento educativo donde aprendan sobre la seguridad, un incidente que los despierta, pero el próximo líder tendrá que volver a aprenderlo”, explicó Conti.
No todos están convencidos de que las ciudades enfrentan una crisis de seguridad cibernética por ahora: James Lewis, investigador en seguridad cibernética en el Centro de Estudios Estratégicos Internacionales, refirió que las ciudades probablemente sólo serán un objetivo para bromistas en el futuro inmediato, no los ciberataques dirigidos a crear daños en el mundo real. “Ha habido una enorme cantidad de aumento de la vulnerabilidad, pero no se traduce en un aumento en el riesgo”, consideró.
Pero bromistas que hackean señales de tráfico para advertir sobre el apocalipsis zombie (como ha ocurrido) no son lo que mantiene a los investigadores despiertos por las noche. La verdadera amenaza no es que alguien lance un ciberataque contra la ciudad, expuso Raymond, es que el ataque se diseñe para hacer el mayor daño posible.
“El peor escenario es que alguien piense en lo peor”, advirtió.
