En países como Estados Unidos, se estima que el crecimiento de los edificios inteligentes alcance el 16.6% en 2020 respecto a 2014, aunque esta expansión no se limita a EE. UU. sino que se está dando a escala global.
Este crecimiento se debe en gran medida a que vivimos en un mundo cada vez más permeado por la tecnología, en el que la automatización de procesos y la búsqueda de la eficiencia energética contribuyen no solo a la sostenibilidad, sino también a la reducción de costes, objetivo perseguido en todas las industrias, públicas y privadas. similar. Naturalmente, la industria de la construcción no es una excepción, dice Carey van Vlaanderen, CEO de ESET Sudáfrica.
Los edificios inteligentes utilizan la tecnología para controlar una amplia gama de variables dentro de sus respectivos entornos con el objetivo de brindar más comodidad y contribuir a la salud y productividad de las personas que se encuentran dentro de ellos. Para ello, utilizan los llamados Building Automation Systems (BAS).
Con la llegada del Internet de las cosas (IoT), los edificios inteligentes se han redefinido. Con la información que obtienen de los sensores inteligentes, sus equipos tecnológicos se utilizan para analizar, predecir, diagnosticar y mantener los distintos entornos dentro de ellos, así como para automatizar procesos y monitorear numerosas variables operativas en tiempo real. La temperatura ambiente, la iluminación, las cámaras de seguridad, los ascensores, los aparcamientos y la gestión del agua son solo algunos de los servicios automatizables que actualmente soporta la tecnología.
Para poner en perspectiva las posibilidades de esta infraestructura inteligente, es el ejemplo de un edificio inteligente en Las Vegas donde, hace dos años, decidieron instalar un sofisticado sistema de automatización para controlar el uso del aire acondicionado (teniendo en cuenta que Las Vegas tiene un clima cálido desértico y muy poca lluvia), por lo que se enciende solo cuando hay personas presentes. Esta decisión significó un ahorro de US $ 2 millones durante el primer año después de la instalación del sistema inteligente, debido a la reducción en el consumo de energía que se logró al automatizar el proceso. Marriott Hotels implementó un sistema similar en toda la cadena que se espera genere un estimado US $ 9.9m ahorro de energía.
Otro ejemplo de automatización a través de dispositivos inteligentes es el de un supermercado en Reino Unido. La tienda instaló un sistema inteligente en su estacionamiento que genera una energía cinética a partir del movimiento de los automóviles que pasan por él y luego usa esa energía para alimentar las cajas.
A primera vista, es posible que no veamos ningún riesgo de seguridad en estos edificios inteligentes. Sin embargo, es probable que en algún momento toda la red inteligente esté conectada a una sola base de datos, y ahí es donde está el riesgo. Particularmente si consideramos que muchos dispositivos IoT son fabricados por diferentes proveedores, quienes pueden no haber prestado la debida atención a las consideraciones de seguridad durante su proceso de diseño y fabricación.
Posibilidad de que un edificio inteligente sea atacado
El riesgo de que se produzca un incidente de seguridad en un edificio inteligente está ligado a las motivaciones de los ciberdelincuentes, que buscan principalmente obtener beneficios económicos con sus acciones, así como impactar y sembrar el miedo.
Ya existen algunas herramientas como Shodan que permiten a cualquier persona descubrir dispositivos IoT vulnerables y/o no seguros conectados públicamente a Internet. Si realiza una búsqueda con la herramienta, puede encontrar miles de sistemas de automatización de edificios en sus listas, completa con información que podría ser utilizada por un atacante para comprometer un dispositivo. En febrero de 2019, alrededor de 35,000 XNUMX sistemas de automatización de edificios en todo el mundo aparecieron en Shodan al alcance del público a través de Internet.
Esto significa que alguien podría tomar el control de un BAS después de encontrarlo a través de una búsqueda. Si, por ejemplo, un delincuente usó Shodan para atacar sistemas de automatización de edificios, encontrará direcciones IP. Si copian esas direcciones IP en la barra de direcciones de un navegador web, en muchos casos aparecerá una interfaz para obtener acceso, donde deben ingresar un nombre de usuario y una contraseña. Si la contraseña es una contraseña predeterminada o si se puede descifrar fácilmente mediante un ataque de fuerza bruta, el atacante obtendrá acceso al panel de monitoreo del sistema, que contiene información similar a las empresas ubicadas en el edificio inteligente.
Una vez que los atacantes tengan acceso a esta información pública y puedan monitorear, por ejemplo, cómo funciona el aire acondicionado, podrían hacer una llamada telefónica haciéndose pasar por la empresa de mantenimiento y decir que van a enviar un técnico.
Al mismo tiempo, los atacantes podrían solicitar acceso remoto, lo que les daría acceso al servidor y les permitiría controlar el edificio. Una vez que tengan el control, podrían alterar la calefacción o el aire acondicionado del edificio o ajustar la forma en que opera cualquiera de los otros sistemas automatizados y luego exigir el pago de un rescate al usar un sistema que les permita permanecer en el anonimato, como la criptomoneda, a cambio de no cerrar el edificio.
Siegeware: una amenaza muy real
Los ciberdelincuentes ya están realizando este tipo de ataques cuando tienen la oportunidad. Este tipo de ataque es siegeware, o "la capacidad habilitada por el código para hacer una demanda de extorsión creíble basada en la funcionalidad del edificio con discapacidad digital".
En conclusión, el bajo costo de los dispositivos IoT para edificios y los avances de la tecnología para los sistemas de automatización de edificios está generando cambios con impacto en la seguridad. Este impulso hacia la automatización y el uso de dispositivos inteligentes para recopilar datos, con el fin de brindar más comodidad a los usuarios de un edificio y hacer un uso más eficiente de recursos como la energía, también está generando mayores riesgos de seguridad. Como resultado, la posibilidad de que un ciberdelincuente lance un ataque de ransomware en un edificio inteligente ya es una realidad.
Consideraciones a tener en cuenta
Hay una serie de consideraciones y requisitos de seguridad a tener en cuenta:
- Revisar las especificaciones de seguridad de los dispositivos y trabajar sobre la base del concepto de 'seguridad por diseño'
- Establecer un presupuesto adecuado para la seguridad
- Elija socios que tengan conocimiento de los problemas de seguridad
- Instalar software para gestionar vulnerabilidades
- Asegurar la cooperación entre las diferentes áreas y/o departamentos
Por cuestiones operativas:
- Actualizar los dispositivos regularmente
- Implemente un plan de reemplazo para cuando finalice el ciclo de vida de soporte de los dispositivos
- Tenga precaución con respecto a los dispositivos conectados
- Monitorear dispositivos conectados
