Según la iniciativa «Ciudades y Territorios Inteligentes», encuadrada en el Plan Nacional de Ciudades Inteligentes (julio de 2014 a diciembre de 2023) del Ministerio de Asuntos Económicos y Transformación Digital con la participación de la Red Española de Ciudades Inteligentes (RECI) y la Federación Española de Municipios y Provincias y cofinanciada por el Fondo Europeo de Desarrollo Regional, se han dedicado 78 millones de euros para un total de 28 proyectos a lo largo de tres convocatorias, con el objetivo de favorecer las soluciones smart en las ciudades, impulsando el fortalecimiento de la industria TIC basándose en estándares de interoperabilidad, sostenibilidad y replicabilidad.
Alguien podría preguntase: ¿por qué no se habla de la ciberseguridad en ninguna de las páginas del Plan, ni en las del Comité Técnico de Normalización de AENOR «Ciudades Inteligentes», ni en la Colección de 20 normas del CTN 178? La respuesta no podría ser más trivial.
La definición del diccionario de la Real Academia Española para la palabra ‘automóvil’ recoge «que se mueve por sí mismo. Dicho principalmente de los vehículos que pueden ser guiados para marchar por una vía ordinaria sin necesidad de carriles y que llevan un motor, generalmente de combustión interna o eléctrico, que los propulsa».
Nuevamente, alguien podría preguntarse: ¿por qué no se habla de las ruedas en ninguna de las acepciones del término? Porque no hace falta. Porque no se entiende la existencia de un automóvil que no tenga ruedas, y esa es la misma respuesta para el caso anterior: no se entiende una ciudad inteligente sin ciberseguridad.
Los más de 650 técnicos, responsables, concejales o alcaldes de los 140 municipios socios de la RECI, a día de hoy, lo tienen claro. La ciberseguridad está presente por defecto y desde el diseño en cada una de las más de 50 buenas prácticas que se difunden anualmente. Pero, además, desde el Subgrupo de Trabajo de Seguridad de la Información y Ciberseguridad tenemos el objetivo de identificar los futuros y, en ocasiones, presentes desafíos de las redes y sistemas de información en las ciudades inteligentes.
Es imposible hacer un listado extensivo de todos los retos identificados. En este artículo se recogen aquellos que, a mi juicio, resultan más significativos; sin olvidar que habrá que dejar hueco para incluir los derivados de las nuevas tecnologías por descubrir.
Seguridad en ciudades inteligentes: un paraguas contra un tsunami
En un océano cualquiera se pueden encontrar veleros, yates, motos de agua, botes, buques y muchos otros tipos de embarcaciones. Unas son más modernas, otras más antiguas. Unas son más voluminosas, otras menos. Su tripulación, necesidades y servicios están organizadas de manera diferente en cada una de ellas, pero todas comparten los mismos peligros, entre los que se pueden citar los monstruos marinos (reales o ficticios), la climatología adversa o los maremotos. Del mismo modo, todas las ciudades inteligentes, independientemente de su antigüedad, tamaño o propósito, se enfrentan a peligros similares en materia de seguridad y ciberseguridad.
Sin duda, uno de los principales es el volumen de la amenaza. No importa el número de personas empadronadas; el tamaño de los recursos disponibles para proteger los activos de una ciudad inteligente resulta inferior en varios órdenes de magnitud. Todo el mundo quiere explotar las nuevas oportunidades. La velocidad de crecimiento de las necesidades escala con mayor rapidez que la de las herramientas de gestión, y eso sin contar con la curva de aprendizaje, aunque nos pongamos en manos de una Inteligencia Artificial.
Todas las ciudades inteligentes, independientemente de su antigüedad, tamaño o propósito, se enfrentan a peligros similares en ciberseguridad
Aquí es donde los oponentes pueden disponer de una ventaja. Si incorporamos la ciberseguridad en el embrión de cada proyecto, deberíamos ser capaces –salvo que Pareto estuviera equivocado– de cubrir el 80 por ciento de los casos con un 20 por ciento del esfuerzo en situaciones tan sensibles como el descubrimiento y corrección de vulnerabilidades de las infraestructuras críticas o la detección, contención y respuesta de amenazas en la convergencia IT/OT.
‘Citiborgs’
Lo reconozco, me acabo de inventar el palabro (por cierto, ‘palabro’ sí está en la Real Academia Española). Llevo un tiempo diciendo que, aprovechando que en Europa tenemos claro que los datos pertenecen a las personas, deberíamos imaginar las ciudades como si fueran una persona para entender que los datos de una urbe pertenecen a su ciudadanía.
Siguiendo con el símil, una persona que se implanta dispositivos para mejorar capacidades de su parte orgánica se denomina ‘cíborg’, y por eso me ha parecido creativo imaginar que una ciudad que se implanta dispositivos sería un ‘citiborg’. Sí, estoy hablando del Internet de las Cosas.
Miles, millones de cachivaches de todo tipo expuestos físicamente en las calles, con acceso de administración y comunicación bidireccional para entregar datos de sus sensores y recibir instrucciones para sus actuadores. ¿Qué podría salir mal? No sé si a vosotros se os ocurren opciones, pero a mí me pagan por pensar como si fuera malo. Es fácil imaginar un escenario distópico en el que cualquier servicio municipal sea víctima de un ransomware: transportes públicos, tributos, semafórica, suministros, emergencias… Elige tu propia aventura.
Sin llegar a ponerse en lo peor, el momento actual presenta: una torre de babel tecnológica, donde el regulador necesita alinear la interoperabilidad de un incontable número de fabricantes e integradores; necesidades de autenticación robusta que no suelen ser compatibles con las capacidades energéticas de los dispositivos; diseños que soporten operaciones idempotentes para ofrecer resistencia ante la pérdida de datos; o protección contra la alteración y destrucción física.
El ojo que todo lo ve
«La libertad es la esclavitud». Como probablemente ya hayas supuesto, la frase no es mía. La escribió George Orwell en la novela 1984, en la que un Estado totalitario preserva pretendidamente la seguridad pública a cambio de vulnerar las libertades ciudadanas. Una epifanía de lo que parecía esperarle al planeta a la vuelta de la esquina.
Según dicen Rebecca Moody y Charlotte Bond en su estudio sobre las ciudades más vigiladas del mundo para Comparitech, en 2023, Madrid y Barcelona reconocen 28.272 y 13.705 cámaras en sus calles, con un reparto de 4,19 y 2,41 por cada mil personas respectivamente. Todavía muy lejos de la proporción de 83,32 y 60,57 de las ciudades indias de Hyderabad e Indore y a años luz de las más de las ¡439,07 estimadas en las grandes urbes de China! La proliferación de cámaras de videovigilancia en las calles de nuestras ciudades es algo que ya no sorprende a nadie. Es indudable que esta tecnología resulta de una gran utilidad en el desarrollo de una ciudad inteligente para el control de tráfico, la gestión de aforo o las tareas de videovigilancia.
La proliferación de cámaras de videovigilancia en las calles de nuestras ciudades es algo que ya no sorprende a nadie
Sobre este último caso, la Agencia Española de Protección de Datos ha identificado los posibles problemas de privacidad y ha elaborado diversas fichas prácticas, pero la resolución de las cámaras en el resto de los casos podría hacer que la captación de las caras de las personas que miran hacia ellas también permitiera su identificación, aunque este no fuera su objetivo. El conflicto técnico y legal no se resuelve con la realización de una evaluación de impacto en protección de datos por muchos motivos, pero desde el punto de la ciberseguridad, uno de los más controvertidos es que, aunque los sistemas realicen un proceso posterior de las imágenes, un oponente con acceso a la fuente original podría estar vulnerando la confidencialidad de la ciudadanía.
Todo, a la vez, en todas partes
Haciendo un resumen de todo lo comentado, las ciudades inteligentes necesitan responder a una demanda creciente de servicios con escasos recursos, gestionando una cantidad ingente de dispositivos heterogéneos obligados a interoperar en entornos hostiles y equilibrando su uso para respetar los derechos ciudadanos en el tratamiento del masivo volumen de información que se va a recolectar. Una apasionante historia por escribir.