Después de décadas, llegó el momento que alcaldes y líderes de gobierno tanto temían: la ciudad de Chicago fue hackeada. Los semáforos no funcionan, las calles están en caos. La ciudad no tiene electricidad y está en manos de los hackers.
Este es el escenario del videojuego Watch Dogs, de Ubisoft, en el que los jugadores controlan a un habilidoso hacker que puede meterse en el sistema operativo urbano que controla la infraestructura de la ciudad.
Pero no hablamos de ciencia ficción. Está ambientado en un Chicago del futuro cercano.
A medida que las ciudades se vuelven más y más dependientes de la red y de omnipresentes sensores que controlan desde los semáforos hasta los contenedores de la basura, ¿podría suceder realmente?
Fácil
Mientras hacía investigación para el videojuego, el director de marca de Ubisoft, Thomas Geffroyd, se sorprendió de lo fácil que era hackear una ciudad.
“Descubrimos que hay muchos sistemas que ya llevan en la ciudad 20 o 30 años y que fueron instalados sin tener en mente el tema de la seguridad”, dijo.
“Si encuentras un punto débil tienes acceso a todo, y es realmente fácil hackear el sistema, sólo tienes que utilizar un buscador que encuentre dispositivos en lugar de direcciones de web, y después sólo es cuestión de utilizar nombres de usuario y contraseñas estándar para entrar”, explicó.
Caos urbano
Si hubiera querido, Cesar Cerrudo podría haber causado un gran caos. Este investigador descubrió una gran falla de seguridad en la conexión inalámbrica que permite la comunicación entre los sensores de tráfico y los semáforos: no estaba encriptada.
Estos sistemas están instalados en unas 40 ciudades de Estados Unidos, incluidas San Francisco, Los Angeles y Nueva York, además de otras ciudades de todo el mundo.
Los sensores envían información sobre el tráfico a unas cajas que controlan los semáforos, para permitir que los tiempos se ajusten de acuerdo al flujo del tráfico.
“Explotando la vulnerabilidades que yo encontré, un atacante podría causar atascos. Es posible hacer que los semáforos se queden en verde más o menos tiempo, que se queden en rojo o que non cambien”, advirtió Cerrudo.
“También es posible hacer que los carteles electrónicos den instrucciones falsas o muestren límites de velocidad errados”, dijo.
“Estos problemas de tráfico podrían causar verdaderos daños”, advirtió, desde accidentes fatales hasta el bloqueo de la actividad de ambulancias, bomberos o policía que atienden llamadas de emergencia.
El investigador dice que le comunicó su descubrimiento a los fabricantes del sistema y al departamento de seguridad nacional pero “no logré convencerlos de que era realmente un tema importante”.
Desde entonces los creadores trataron de mejorar la seguridad del sistema.
Falta de especialistas
Cuanto más dependientes de los sistemas digitales se vuelven las ciudades más grande es la necesidad de tener personal experto en seguridad que ponga a prueba los sistemas nuevos y actualice los viejos.
“En estos momentos tenemos una falta de este tipo de gente, pero estamos haciendo lo posible para elevar la capacidad”, dijo Ed Skoudis, fundador de Counter Hack, una organización que diseña, construye y opera simulaciones y desafíos en temas de seguridad.
Pero probablemente no habrá falta de personal dispuesto a poner a prueba el sistema.
“Desde hackers jóvenes que lo hacen porque pueden hasta estados que quieran poner de rodillas a una ciudad en particular, criminales que quieran facilitar, por ejemplo, su huida por la ciudad... hay muchas personas que podrían querer hackear los sistemas de una ciudad”, enumera Ken Munro, hacker ético y experto en sistemas de control industrial conocidos en inglés como Scada.
Por ahora hay cierto consuelo para las autoridades.
“Las ciudades aún no están tan conectadas así que los daños de este tipo de ataques se limita a problemas localizados, a jóvenes cargándose los semáforos”, dice Munro.
Pero a medida que más y más ciudades invierten en sensores por toda la ciudad y en salas de control a las que llega toda la información generada, la posibilidad de un ataque de hackers se vuelve un problema mayor.
“Si alguien consigue acceder a la sede de la información, ahí sí se vuelve el tema realmente escalofriante”, concluyó.