Con frecuencia, los sistemas de construcción inteligente no están sujetos al mismo régimen de seguridad que los sistemas de TI tradicionales. Así, los ataques cibernéticos a edificios vulnerables podrían, en teoría, reducir el valor de las propiedades
Por: Isela Vela
Las tecnologías de construcción inteligente están al borde de la adopción masiva. Un informe reciente de la consultora IDC predijo que el mercado mundial de edificios inteligentes crecerá de 5 mil 730 millones de dólares (mmd) a 24 mil 730 mdd para el 2021. Las tecnologías se están volviendo más impresionantes cada día.
Entrar al edificio de oficinas tan sólo con una tarjeta de identificación, llamar al elevador sin presionar botones, ir directamente a un piso específico y, finalmente, llegar a la oficina con clima controlado no parece ser particularmente notable en la actualidad.
Pero, en ese corto período de tiempo, desde entrar al edificio hasta sentarse en el escritorio, las personas han atravesado por múltiples capas ocultas de tecnología sofisticada. El ascensor no se detuvo en pisos no autorizados. El sistema de calefacción, ventilación y aire acondicionado (HVAC, por sus siglas en inglés) cambió de su modo de ahorro de energía nocturno, a los ajustes para brindar confort térmico que se disfruta durante el día. Al mismo tiempo, decenas de miles de sensores monitorearon los sistemas mecánicos del edificio (luz, agua, electricidad, etcétera), mientras que los sistemas de seguridad automatizados redujeron la vulnerabilidad del edificio a través de un monitoreo constante.
Para los propietarios y administradores de edificios de este tipo, el atractivo de la tecnología es obvio, IBM señala que las operaciones representan el 71 por ciento del costo total de un edificio durante su vida útil. Los datos informan automáticamente las operaciones del edificio, lo que permite un ahorro de costos al tiempo que proporciona más servicios, mayor seguridad y comodidad para los ocupantes. En consecuencia, dado que los edificios inteligentes son más rentables, las tecnologías también aumentan el valor de los bienes raíces.
Sin embargo, esta convergencia de los mundos físico y digital requiere un enfoque diferente del riesgo. Tradicionalmente, la seguridad física y la cibernética han funcionado como dos operaciones muy distintas. La primera se ha centrado en mantener a las personas y los bienes seguros, informando a través de operaciones o administración, mientras que la segunda, se enfoca en el lado de los activos de información a través del liderazgo tecnológico general.
En la era de los edificios inteligentes y el Internet de las cosas (IoT) existe una creciente necesidad de considerar las dos funciones juntas. “Los riesgos que enfrentan las empresas modernas ya no ocurren de forma aislada, por lo que no pueden ser tratados esa forma”, sostiene James Morris, gerente regional de Seguridad, EMEA-Aon.
A medida que los edificios se vuelven cada vez más interconectados, el número de puntos de entrada para los posibles piratas informáticos aumenta. La encuesta Ponemon 2018 revela que las compañías que mantienen un inventario de dispositivos conectados reportan tener un promedio de 1 mil diarios. Pero, al realizar un estudio, se encontraron alrededor de 17 mil dispositivos conectados a internet. Luego, la seguridad cibernética de una empresa es tan fuerte como el eslabón más débil. Sin embargo, con frecuencia, los sistemas de construcción inteligente no están sujetos al mismo régimen de seguridad que los sistemas de TI tradicionales. Así, los ataques cibernéticos a edificios vulnerables podrían, en teoría, reducir el valor de las propiedades.
Desde 2013, los investigadores mostraron la vulnerabilidad potencial de un edificio inteligente al infiltrarse en el corporativo australiano de Google. Adicionalmente, se hicieron públicos los reportes de hackers que utilizaban un motor de búsqueda especializado, llamado Shodan, que localiza las direcciones de IP de dispositivos conectados a la red.
En un estudio elaborado a finales de 2019, la empresa Karspersky evaluó 40 mil edificios inteligentes alrededor del mundo, encontrando que 4 de cada 10 habían sufrido algún ataque cibernético en las computadoras que los controlan. Aunque la mayoría no fueron ataques dirigidos a dañar el edificio, el riesgo es latente y sus efectos pueden ser catastróficos.
Si bien la legislación cibernética de muchos países se encuentra muy lejos de contemplar todos los riesgos y eventos, en algunas regiones ya se aplican sanciones muy estrictas contra la vulneración de datos. El Reglamento General de Protección de Datos de la Unión Europea (GDPR), por ejemplo, establece sanciones para empresas establecidas o que hagan negocios con alguna empresa o individuo de la Comunidad Europea de hasta el 4 por ciento de los ingresos globales de todas sus operaciones si incurren en estas prácticas; y ya ha generado multas por más de 100 millones de dólares para empresas que han tenido vulneraciones.
Conforme crece la inversión en tecnologías para edificios inteligentes, es vital que las compañías realicen un análisis de riesgos exhaustivo para identificar y prepararse adecuadamente para las exposiciones cada vez más complejas que tendrán que enfrentar.
La recomendación de Aon México es contar con información robusta para, posteriormente, analizar y mitigar los riesgos a los que están expuestas las empresas. Gracias a la inteligencia de datos, la firma ha detectado que algunos de los factores a tomar en cuenta respecto a los riesgos en el sector inmobiliario son:
- Cambios en los puntos de acceso digital y puntos críticos de autenticación, especialmente para proveedores y ocupantes.
- La introducción de nueva tecnología en el edificio inteligente aumenta la exposición al riesgo.
- Intercambio de datos o plataformas digitales entre los ocupantes y el edificio inteligente.
- Cómo y en qué nivel los sistemas de control del edificio están conectados a los sistemas de comunicaciones.
- El marco de gestión de riesgos contractuales, incluidas las disposiciones que exigen que la dirección del edificio asuma la responsabilidad por el rendimiento de los datos, del sistema, o bien, la transferencia de responsabilidades.
El riesgo de ser blanco de ciberataques y el costo de defender el edificio contra ellos debe contemplarse en cualquier análisis de tecnologías inteligentes. Sólo entonces los propietarios y administradores pueden medir con precisión el retorno de su inversión.
Isela Vela
Directora adjunta broking daños, en Aon México, área dedicada al diseño, negociación y colocación de programas de seguros.
