¿Qué sucedería si una organización cibercriminal toma control de los sistemas de pago de transporte en una ciudad y los deshabilita por completo, exigiendo una millonaria recompensa para liberarlos? Sin duda es un escenario extremo, pero no imposible dado el actual contexto mundial, donde múltiples hackers y ciberdelincuentes lanzan a diario miles de ataques.
Plantear este escenario no implica ser alarmista o fomentar un “juego del miedo”, sino tener conciencia de que nos hemos ido quedando atrás en temas de ciberseguridad en el transporte, especialmente si consideramos que las tecnologías hoy empleadas son vulnerables a fraudes.
Como dice el refrán, “la oportunidad hace al ladrón”, y si los organismos reguladores no se apresuran en dar los pasos necesarios para aplicar una evolución tecnológica importante, cada día se abren más ventanas para que los atacantes cibernéticos aprovechen las vulnerabilidades de un sistema que pierde vigencia mientras las estrategias de los hackers son cada vez más sofisticadas.
Aplicando medidas adecuadas se puede mitigar considerablemente este riesgo. Por ejemplo, hoy ya existen tarjetas con llaves de 128 bits de encriptación y algoritmos que requieren de mucho tiempo para ser descifrados. En este ámbito, Metro de Valparaíso dio un paso importante y fue pionero en cambiar hace aproximadamente dos años el sistema de pago, pasando de una tarjeta Mifare Classic a la más avanzada y segura Mifare Plus, en un proyecto realizado por SONDA.
Sin embargo, son pasos que deben darse de manera decidida y sin mayor dilación. Recordemos que el sistema de transporte es muy complejo y que contar con sistemas de seguridad robustos requiere de un esfuerzo constante para proteger los distintos tipos de potenciales canales de acceso.
La respuesta clásica ante estas amenazas es asegurar la disponibilidad de los servicios, así como la integridad y confidencialidad de la información de cada pasajero. Pero esto no solo se logra utilizando tarjetas más seguras, firewalls más efectivos o anti virus más poderosos. Es necesario aplicar un proceso integral complejo y continuo, manteniendo un inventario completo de todos los activos computacionales relevantes que, en el caso del transporte público, son decenas de miles de computadores ubicados en buses, paradas y puntos de carga de tarjetas. Todos hoy son vulnerables y deben ser controlados uno a uno.
Adicionalmente, es clave diseñar y aplicar políticas concretas a nivel de gobierno. En suma, lograr que todos los actores, públicos y privados, concuerden en una estrategia mayoritariamente preventiva y no sólo reactiva. Esto implica procesos conjuntos y no simples acciones aisladas. Hay que aplicar parches de seguridad, revisar que los sistemas no sean vulnerables y actualizar permanentemente las herramientas, porque el nivel de amenazas sigue incrementándose, y los atacantes cambian a su arbitrio las reglas del juego.
Las vulnerabilidades que antes nadie conocía hoy son masivas, y lo que parecía muy seguro, ya no lo es. Detectar problemas grandes puede ser sencillo, pero las contingencias hormiga, por ejemplo, son más ocultas. Y si para controlar la evasión en terreno es necesario invertir en zonas pagas, fiscalizadores o vigilancia, para optimizar la ciberseguridad también hay que invertir en la implementación de una correcta gestión de vulnerabilidades.
Por Hermann von Borries, Gerente de Proyectos de SONDA
