La industria de los vehículos conectados está al alza y los avances en esta área llevan a pensar que el coche autónomo será una realidad en las próximas décadas. Estas nuevas funciones, que requieren de una mayor dependencia del software, nacen con el objetivo de aumentar la seguridad y la comodidad del usuario, pero al mismo tiempo añaden complejidades y lagunas en materia de ciberseguridad a todo el ecosistema automovilístico.
Los coches conectados modernos ahora comparten redes con dispositivos móviles e incorporan características que tienen más en común con los ordenadores que con los vehículos tradicionales.
Lamentablemente, la mayor demanda de conectividad, así como el rápido ritmo de desarrollo para satisfacerla, aumenta inevitablemente la cantidad de componentes expuestos y vulnerables, tal y como advierten desde Trend Micro.
Esta tendencia parece imparable. Se espera que el mercado mundial de coches conectados crezca un 270% en 2022. Igualmente, se prevé que la industria automovilística domine la demanda de conectividad para 2023, según datos de un informe de la firma de investigación de mercado Counterpoint Insights.
Los automóviles de hoy cuentan con sistemas que se conectan a otros vehículos, dispositivos móviles, infraestructura de tráfico y sistemas en la nube para la supervisión de cuestiones como la seguridad del tráfico y los peatones, la vigilancia y gestión remota de vehículo o para los sistemas de alerta de emergencia. Elementos que podrían ser objetivo de los ciberdelincuentes y que deben contar con mayores garantías, según los expertos.
Desde 2018, más de 80 organizaciones de todo el mundo han participado en la creación de la norma ISO/SAE 21434 ‘Vehículos de carretera – Ingeniería de ciberseguridad’, que incluye un conjunto de directrices para asegurar los procesos de alto nivel en las fases de diseño, fabricación, mantenimiento y fin de la vida útil de los vehículos, de manera que se cumpla con los requisitos del nivel de seguridad.
LAS PRINCIPALES AMENAZAS
Los investigadores han encontrado una cantidad significativa de vectores de ataque en los coches conectados. Estos vehículos se conectan siempre que se encuentren dentro del alcance de una red celular o a través de canales de radiofrecuencia de corto alcance, de forma muy similar a como se suele activar el Bluetooth o el WiFi.
Los cibercriminales pueden abusar de estas brechas de seguridad y sin parches para interceptar y robar información, interrumpir las funciones normales del automóvil o incluso atacar a los usuarios y poner en peligro sus vidas.
La industria debe «abordar y mitigar vulnerabilidades», tal y como alerta David Sancho, Senior Threat Researcher de Trend Micro. Uno de estos puntos débiles es un sistema de cadena de suministro altamente escalonado, que puede provocar importantes retrasos a la hora de actualizar el firmware de las unidades de control de motor (ECU) cuando se detecta cualquier problema técnico.
Desde Trend Micro también advierten de que algunos de los protocolos utilizados para las interconexiones ECU no han sido diseñados para incluir características de ciberseguridad. Por ejemplo, las transferencias de datos no están cifradas y los emisores y receptores no están autenticados. Asimismo, indican que hay «productos y servicios de posventa inseguros».
Los dispositivos de Internet de los vehículos (IoV) instalados en los automóviles, como los dispositivos multimedia con capacidad Bluetooth o WiFi, están disponibles para su compra e instalación. Sin embargo, la mayoría de estos dispositivos funcionan con un firmware inseguro o anticuado, lo que permite a los atacantes explotar los sistemas no parcheados para entrar y moverse lateralmente para enviar códigos maliciosos a los sistemas del vehículo.
¿QUÉ HARÁ EL CIBERCRIMINAL AL ACCEDER AL SISTEMA DE MI COCHE?
A la hora de hablar sobre las consecuencias de un ciberataque a un vehículo conectado o autónomo, David Sancho distingue entre dos cuestiones: lo que se puede hacer frente a lo que es probable que el cibercriminal haga. En este sentido, indica que hay situaciones extremas, como es el hecho de que el hacker tome el control total de un vehículo, que son «altamente improbables, pero no imposibles».
La conectividad del vehículo está vertebrada por un sistema llamado el CAN Bus (Controller Area Network). Este se encarga de conectar todos los sistemas del vehículo, desde los dispositivos de conducción (marchas o aceleración) hasta los de entretenimiento. «Si se encuentra una vulnerabilidad explotable desde fuera, se podría -teóricamente- incluso detener la conducción en marcha. Esto sería obviamente un peligro extremo para los ocupantes», explica el experto de Trend Micro, insistiendo en que «acceder a los sistemas de conducción es algo especialmente complicado».
En cualquier caso, Sancho incide en que un criminal no se va a entretener en hackear un vehículo sin un plan detrás que lo haga económicamente rentable. Por ello, cree que el plan más sencillo sería el acceder al sistema de seguridad desde fuera con el propósito de desmontarlo y así poder entrar al vehículo y desvalijarlo.
También sería posible crear ‘ransomware’ para coches que inhabilite la conducción hasta que se pague un rescate. Sin embargo, a día de hoy parece poco probable, ya que la dificultad de instalar un programa de ese estilo es muy alta y el beneficio bastante dudoso. Según donde se encuentre el vehículo el ocupante llamaría al seguro o al soporte de la empresa para que lo vaya a buscar o le cambie el coche por otro.
Otra preocupación son los datos de los clientes. Los fabricantes están configurando los coches para que recojan y transmitan una gran cantidad de información detallada, como la ubicación del automóvil, la velocidad e incluso las alertas del conductor; en otras palabras, cómo, dónde y en qué condiciones conduce alguien. Igualmente, se están preparando para desplegar paquetes de conectividad que permitan a los propietarios interactuar con proveedores de servicios y, por ejemplo, realizar compras con tarjeta de crédito desde el coche mientras conducen. Todo esto podría servir como información objetivo de los hackers.
Aunque las probabilidades de que se produzcan ataques a gran escala no sean muy grandes en estos momentos, la industria automovilística se ha dado cuenta de la importancia crítica de la ciberseguridad en los coches conectados y su infraestructura relacionada. «Es un hecho que, a medida que los coches se vuelven cada vez más digitales y conectados, debemos preocuparnos más por la ciberseguridad. Nuestra obligación como expertos es vigilar y actuar contra las posibles vulnerabilidades y velar por la seguridad», concluye Sancho.