Las smart cities han venido para quedarse, ya que sus sistemas conectados ofrecen múltiples beneficios en materia de eficiencia, seguridad y calidad de vida. Pero todas estas ventajas no vienen sin su riesgo; por las autopistas de información de las ciudades inteligentes circulan volúmenes masivos de datos, incluyendo información sensible y confidencial, que deben protegerse a toda costa ante ciberamenazas. ¿Cómo pueden los proveedores de servicios IoT y las ciudades proteger sus dispositivos y comunicaciones?
Hablar de ciudades inteligentes no es algo nuevo, ya bien entrados en la tercera década del milenio; cada vez hay más urbes conectadas, con sistemas basados en datos y conectividad para automatizar y optimizar procesos destinados a mejorar la calidad de vida de los ciudadanos, la eficacia de los desplazamientos, la eficiencia energética y la seguridad y bienestar de las personas.
Una smart citiy es un plano superpuesto al paisaje urbano de carreteras y edificios; una dimensión informática donde los datos y la información fluyen, con objetivos perfectamente definidos para alimentar una gran variedad de aplicaciones, que pueden ir desde sistemas de generación energética, la gestión remota del alumbrado público, sistemas de vigilancia o soluciones de movilidad sostenible, por citar algunos de los casos más habituales. Se trata, en definitiva, de un complejo ecosistema de dispositivos y procesos conectados, al servicio último de la ciudadanía; pero también se trata de canales por los que fluye una ingente cantidad de datos que, en muchas ocasiones, son de carácter sensible. Para garantizar la inviolabilidad de la información confidencial y el correcto funcionamiento de los engranajes ocultos de las ciudades inteligentes, es vital comprender la naturaleza de las conexiones, y diseñar todos los procesos de la ciudad conectada para que sean seguros desde su concepción.

La flexibilidad de la conectividad celular
Incluso en entornos urbanos, la fibra óptica no siempre es la opción más viable para conectar los dispositivos, y las tecnologías de corto alcance, como el WiFi o las redes LoRa, tienen sus propios costes asociados y sus restricciones en cuanto a espectro y a la necesidad de un gateway o router para proporcionar salida a Internet. En este escenario, la conectividad celular se presenta como una alternativa muy versátil, tanto para complementar esas redes locales, actuando de enlace entre la nube o los servidores del cliente, como para instalar las tarjetas M2M directamente en aquellos dispositivos habilitados para conectarse a redes móviles, ya sean 4G, 5G, Narrowband, LTE-M, CAT-1 Bis o cualquier otra tecnología de acceso celular.
Al conectar dispositivos a Internet, cualquiera que sea el medio, es inevitable pensar en el fantasma omnipresente de las ciberamenazas. Los administradores de ciudades conectadas tienen en su haber un mundo casi ilimitado de posibilidades gracias a los sistemas smart, pero también tienen en sus manos una gran responsabilidad: la de garantizar la seguridad y la integridad de todos esos datos que, en ocasiones, pueden ser críticos para el correcto funcionamiento de las infraestructuras de la urbe y que pueden contener información de carácter confidencial.

Asegurar las comunicaciones y los datos desde el diseño con un enfoque de 360 grados
Es inevitable pensar en la ciberseguridad a la hora de hablar de las ciudades inteligentes, pero en ocasiones no se le confiere la importancia que debería tener. Y es que la seguridad debería ser algo inherente a los sistemas desplegados, y no un añadido posterior; el diseño de las ciudades inteligentes debe contemplar desde el inicio cómo se van a conectar los diferentes dispositivos y sistemas e identificar las potenciales amenazas a la ciberseguridad. Esto se consigue aplicando al diseño (que puede extrapolarse de las smart cities a cualquier otro ecosistema IoT) un enfoque de ciberseguridad de 360 grados, que dote a los administradores de herramientas para defenderse, detectar riesgos y reaccionar con rapidez ante potenciales ataques.
Cuanto mayor es el número de dispositivos conectados, mayor es la superficie de ataque y más compleja resulta de defender. Es recomendable, en el caso de la conectividad celular, apoyarse en el enfoque IoT SAFE, un estándar avalado por la GSMA basado en SIM para la autenticación y autorización de dispositivos en una red móvil, que también pone el foco en el mantenimiento y en la actualización de certificados. También es vital prestar atención a la redundancia para hacer los sistemas resilientes ante posibles cortes. Cabe destacar que lo que hasta hace poco eran recomendaciones se está convirtiendo en norma; en la Unión Europea se regula por la Ley de Ciberresiliencia (EU Cyber Resilience Act).
Tan importante como la protección preventiva de dispositivos y comunicaciones, resulta contar con procesos que permitan una rápida detección de posibles incidencias o ataques. La monitorización constante de los dispositivos, junto con el uso de análisis basados en datos, permite establecer alertas ante potenciales comportamientos anómalos o sospechosos.
Como toda precaución es poca, y surgen nuevas ciberamenazas de forma constante, es fundamental estar preparado y tener los procedimientos internos bien engrasados (esto es, contar con las herramientas necesarias y el personal debidamente formado) para reaccionar con rapidez ante cualquier posible violación de la seguridad, poniendo en cuarentena los dispositivos afectados, informando sobre potenciales brechas y tomando las medidas correctoras necesarias.
Una estrategia de ciberseguridad IoT de 360 grados ha de tener en cuenta estos tres pilares (defender, detectar y reaccionar) para dotar a un sistema IoT complejo como puede ser el de una smart city con los instrumentos adecuados para proteger la información crítica que circula por sus calles invisibles. En Wireless Logic hemos desarrollado un marco de ciberseguridad IoT para ayudar a nuestros clientes a proteger sus sistemas desde la misma concepción del proyecto.

Autor: Beni Álvarez, Departamento técnico de Wireless Logic