En países como Estados Unidos, el crecimiento de los edificios inteligentes se estima que habrá sido del 16,6% para 2020 con respecto a 2014; aunque esta realidad de expansión está ocurriendo a nivel global. En gran medida, esta alza se debe a que vivimos en un mundo cada vez más atravesado por la tecnología y en el que la automatización de procesos y la búsqueda de la eficiencia energética representa no solo un aporte hacia la sustentabilidad, sino que supone por sobre todas las cosas una reducción de costos; objetivo que persigue cualquier tipo de industria, desde el sector público hasta el privado, además de las viviendas.

Los edificios inteligentes utilizan tecnología para controlar distintas dinámicas con el objetivo de brindar mayor confort, contribuir a la salud y a la productividad de quienes habitan en ellos. Para realizar esto, utilizan Sistemas de Automatización de Edificios (o “BAS”, del inglés “Building Automation Systems”). Con la llegada del Internet de las Cosas (IoT) los edificios inteligentes se redefinieron y el equipamiento tecnológico permite analizar, predecir, diagnosticar y mantener los distintos ambientes, así como automatizar procesos y monitorear en tiempo real variables como la temperatura de los ambientes, la iluminación, las cámaras de seguridad, los ascensores, el estacionamiento, la gestión del agua, entre otras.

En términos de seguridad, el riesgo en los edificios inteligentes se encuentra en que toda la red inteligente puede estar conectada a una única base de datos. Los dispositivos IoT son fabricados por distintos proveedores y es probable que estos no tengan en consideración aspectos de seguridad durante su proceso de fabricación. Potencialmente, es probable que muchos de los que hoy no habitan en un edificio de estas características, sí lo hagan en algún tiempo más, dado que el crecimiento de la construcción de edificios inteligentes que utilizan IoT viene en aumento.

Entonces, el riesgo de sufrir un incidente de seguridad en este tipo de infraestructura está asociado a las motivaciones de los cibercriminales, quienes principalmente buscan obtener un beneficio económico a partir de sus actos, pero también generar impacto y transmitir miedo. Si uno busca por “BAS” de manera específica, podrá encontrar miles de sistemas de automatización de edificios en listas con información que podría ser utilizada por un atacante para comprometer un dispositivo. De hecho, en febrero de 2019, figuraban en Shodan, herramienta que permite encontrar sistemas vulnerables conectados a Internet (incluyendo dispositivos IoT), unos 35.000 sistemas BAS al alcance público en Internet a nivel global.

Un tipo de ataque que se observó en varias oportunidades es el denominado “Siegeware”, mediante el que un actor malintencionado tiene la capacidad, mediante código (software), de realizar una demanda extorsiva a partir de tomar el control de las funcionalidades digitales de un edificio.

En ese sentido, el bajo costo de los dispositivos IoT para edificios y el avance de las tecnologías para sistemas de automatización de edificios están generando cambios que afectan a la seguridad. La búsqueda de automatización y el uso de dispositivos inteligentes que recopilan datos para ofrecer confort a sus ocupantes, así como hacer un uso más eficiente de los recursos, como el energético, dependiendo de su implementación, también podrían aumentar el riesgo para la seguridad. En otras palabras, la posibilidad de que un cibercriminal ejecute un ataque del tipo ransomware que afecte a un edificio inteligente ya forma parte de la realidad.

Al implementar sistemas BAS, las siguientes consideraciones y requerimientos de seguridad deberían estar presentes:

• Revisar las especificaciones de seguridad de los dispositivos y trabajar alineado al concepto de “seguridad por diseño”.

• Destinar un presupuesto acorde a la seguridad.

• Seleccionar socios que tengan conocimientos en el campo de la seguridad.

• Contar con un programa de manejo de vulnerabilidades.

• Cooperación entre las distintas áreas y/o departamentos.


Desde el punto de vista operacional, se recomienda implementar las siguientes medidas:

• Actualizar los dispositivos de manera regular.

• Establecer un plan de reemplazo si el ciclo de vida de un dispositivo finalizó.

• Prevención acerca de lo que está conectado.

• Monitorear los dispositivos que estén conectados.