TecnologiaCiber
ArticulosMaestrías

Ciberseguridad y SmartBuildings

Ale Cortes

Con el auge de la IA, que lo estamos viviendo todos en primera persona, uno de los sectores en los que más proyección está teniendo es en la toma de decisiones automatizadas, siempre dentro de un determinado rango, y en el que, por desgracia, tradicionalmente ha estado completamente desprotegido: los edificios inteligentes.

Como bien sabéis los que me conocéis desde hace bastante tiempo, mis inicios como ingeniero estuvo marcado dentro del ámbito de la domótica / inmótica y los edificios automatizados. En aquella época, la única inteligencia que se le podía aportar a las instalaciones es que, en función de un tiempo o la operación de una persona, los distintos sistemas de los que puede constar una vivienda, un edificio o una instalación, realizara una determinada labor, previamente programada. 

Los sistemas de control, dentro de la basta inmensidad de fabricantes, como Siemens, Johnson Controls, Honeyweel, siempre han impuesto sus sistemas y sus productos. Gracias a la existencia de los PLC (Controlador Lógico Programable, por sus siglas en inglés), se pudieron programar la captación de datos de sensores (entradas), procesarlos según la lógica de programación definida dentro de estos controladores, enviando señales a actuadores o salidas, que controlan motores, válvulas, luces o sistemas de climatización.

Tras una evolución considerable, en la actualidad los edificios inteligentes han pasado a denominarse Edificios Activos, ya que el concepto en realidad trasciende la mera automatización, pues con la incorporación de los IoT, las edificaciones se convierten en entidades proactivas, interactivas y con capacidad de influir en su entorno y en la red energética externa; ahora, por medio de una inteligencia predictiva, se establece una relación bidireccional con sus ocupantes y la infraestructura circundante.

Un Edificio Activo no solo reacciona a los datos que recibe, sino que los analiza, los anticipa y toma decisiones autónomas para optimizar su rendimiento y el bienestar de los usuarios. Esto se debe a que los sistemas que lo controlan almacenan los datos y, por medio de algoritmos de Machine Learning (Aprendizaje Automático), donde se introducen las variables climáticas existentes, los precios de la energía, los hábitos de los habitantes y la optimización que se requiera, actúa en consecuencia.

Todavía recuerdo cuando, en aquellos inicios que mencionaba antes, los sistemas que programaba estaban enlazados a bases de datos que almacenaban todas las variables. En alguna ocasión me discutieron que ¿para qué quería almacenar todos esos datos, si una vez ejecutadas las órdenes no servían para nada? Claro, para nada excepto poder anticipar en el tiempo la utilización del edificio según factores parecidos que, ayudado por los algoritmos, podrían aproximar una optimización en el uso de todos los factores intervinientes.

Recientemente, surgió la oportunidad de transmitir mis conocimientos a alumnos interesados en esta área, por medio de la Universidad Internacional de Ecuador. De hecho, llegaron a preguntarme «¿Qué sabes tú de ello?» Y les recordé que soy Ingeniero Industrial, especializado en Electricidad con un Trabajo Final de Grado llamado «Interconexión de sistemas domóticos a bajo nivel», del año 2001. Mi pasión por la informática hizo encaminar mis pasos hacia la computación y su programación, pero nunca dejé de lado esta gran pasión que es la conexión de la informática con el mundo real, máxime cuando sé que existen millones de dispositivos vulnerables, que no resisten siquiera un escaneo de puertos, porque no se ha tenido en cuenta el componente de seguridad en su fase de diseño.

A los alumnos del máster de Planificación y Diseño Urbano con mención en Ciudades Inteligentes de la Universidad Internacional de Ecuador, donde imparto de la asignatura de SmartBuilding, les he enseñado varias veces la gráfica del consumo energético que Red Eléctrica Española pone a disposición de todos los internautas, que a continuación os explico y muestro:

En este gráfico de Red Eléctrica Española, vemos 3 líneas: la real, de amarillo, es el acumulado que se consume a diario. La verde, es la prevista, es decir, la que según las estimaciones y los cálculos de Ciencia de Datos son capaces de predecir, y la roja, es la programada, que normalmente será una sobredimensión ligeramente superior a la prevista. Por supuesto, en la gráfica también aparece otra imagen, la de la Estructura de generación y almacenamiento, donde se nos indica las distintas forma de generación eléctrica que España posee. La previsión es tan cercana a la realidad que, salvo que ocurra algún hecho imprevisto, se cubre perfectamente la demanda de energía.

De igual forma, gracias a las observaciones que realizamos cuando tenemos los datos que un edificio inteligente los almacena, podemos saber si nos hará falta energía externa en determinados momentos o, si disponemos de alimentación energética suficiente, podríamos conocer si el edificio inyecta potencia a la red, a sus propias baterías (con el apagón del 28 de abril de 2025 se descubrió en España que un porcentaje muy elevado de los productores de electricidad, ésta es inyectada a la red pero no es almacenada, con lo que sin baterías de soporte, al no ser inyectada no tienen fluido eléctrico. Esto, que se hace para reducir la factura energética, en caso que no haya energía del exterior, es tan inútil como no tener placas fotovoltáicas. En alguna ocasión, me han comentado que «el sistema que permite alternar entre baterías e inyección en la red es muy caro», a lo que siempre contesto que «lo hacen caro»).

¿Y donde entra la Ciberseguridad que menciono en el título de este artículo? Si los sistemas que son encargados de recopilar información, los llamados PLC que os comentaba al principio, son ordenadores industriales, deben ser completamente seguros, pero la realidad dista mucho de la práctica. Lo habitual es que estos PLC tengan puertos de monitorización, usualmente vía protocolo SSH (Secure SHell). Es un protocolo bastante seguro en principio, el problema es cuando no se establecen las credenciales suficientes, bien por desconocimiento o porque, como se dice usualmente, «¿quien va a mirar, si nada tengo?». Bajo esta premisa, sé que muchas empresas, en busca de la perfección, están descuidando la protección de los sistemas, cuando ésta se ha de hacer desde la etapa de diseño.


Recordemos que hace unos cuantos años, Andrés Naranjo y yo escribimos el artículo de «Colega, ¿donde está mi coche?» que nos publicó Cybersecuritynews, exponíamos precisamente una falla en un protocolo como el de Telnet donde nos podíamos conectar a vehículos que podían ser intervenidos a distancia, desde cualquier parte del mundo. Lo único que necesitábamos conocer era su dirección IP, identificador que todo dispositivo conectado a Internet tiene. Y esta dirección la podíamos obtener haciendo una simple consulta en el buscador shodan.

Son muchos los ingenieros que emplean redes inalámbricas sin protección (quizás por desconocimiento o por comodidad), aplicaciones vulnerables que no han sido testeadas en profundidad por los que sabemos de ello, o incluso productos que se vendieron hace algunos años y que son totalmente inseguros, pues alcanzar el grado suficiente de protección significa reprogramar el sistema al completo, y es demasiado costoso para que sea asumido por la propiedad. Muy pocos son los ingenieros industriales con el conocimiento especializado en ciberprotección (y si el aparato lo soporta, que eso es otra). Se suele confiar a pies juntillas lo que dice el fabricante pero… ¿Tenemos la certeza absoluta que el PLC o los sistemas que componen el edificio no son vulnerables?

Primer fallo habitual

El primer fallo habitual es conectar toda la instalación propia del edificio al sistema de comunicaciones del mismo. Sí, por supuesto que se puede, pero se le ha de dotar de los cortafuegos necesarios para que no sea accesible desde fuera pues, si así ocurriera, se pueden hacer con su control y su gestión.

Desde el Pentesting, sabemos que lo primero que se realiza cuando encontramos una víctima es realizar un escaneo de puertos. Muchos sistemas necesitan, para una adecuada monitorización remota, disponer de un puerto abierto en el dispositivo de conexión al exterior. Esto hoy día está superado con las VPN, pero esta característica se desconoce, al menos por los instaladores del edificio. A veces no es posible que el PLC pueda trabajar con ello, y se realiza una conexión transparente en la red, de forma que es localizado inmediatamente empleando cualquiera de las herramientas más sencillas que tengamos a nuestra disposición. Otras veces sí es posible pero no se ha revisado que no tengan vulnerabilidades… Son muchos los que instalan el sistema sin más, sin tener en cuenta nada… Cuando hablo de ello a mis compañeros de carrera me echan miradas de asombro y con cierta suspicacia. Sé que por sus cabezas pasa el pensamiento de «esto cuesta más», o el de «¿quien va a mirar?»… Pero ¿sois capaces de ver el alcance del problema? Si estos PLC intercambian información con una unidad central, ¿estará suficientemente protegida? ¿Se ha comprobado? Lo que no puede ser es que el Edificio Activo se convierta en un inmueble inútil.

No solo se trata que los ciberdelincuentes «secuestren» el edificio (tendrían que crear un ransomware adaptado a los dispositivos que corren en él, es algo más difícil pero no imposible), sino que cambien su programación o que lo utilicen para algo que inicialmente no estaba previsto, solo porque no se tuvo en cuenta sus posibles vulnerabilidades desde el diseño.

Mi intención es la de concienciar, que en toda las automatizaciones que se están viendo e implantando, se tenga en cuenta la Ciberseguridad, y para ello se ha de contar necesariamente con los que tenemos ese conocimiento, que no solo estamos enfocados al mundo IT (entorno de oficina), sino que también cubrimos el OT (entorno de planta). Y enlazados a ellos, tenemos las SmartCities, las Ciudades Inteligentes, de las que otro día, Dios mediante, hablaremos.