La industria del vehículo conectado es hoy algo tangible, y cuya tendencia muestra que ha venido no solo para quedarse, sino para arrasar. Con el conocimiento de los riesgos que ello implica, aparece la necesidad de formular prioridades de ciberseguridad.
Las nuevas tecnologías quieren prevenir los errores humanos, a la vez que mejoran la comodidad y la seguridad en la conducción. Pero no se deben pasar por alto las lagunas y los problemas que inevitablemente llegarán al mundo del motor.
Europa Press ya ha avisado de que algunas de las nuevas características de estos vehículos los acercan a dispositivos como teléfonos u ordenadores, alejándolos de sus antecesores, más tradicionales.
Ahora comparten redes con estos aparatos tecnológicos, y la demanda creciente de una mayor y más desarrollada conectividad lleva a algo de lo que todavía no se es consciente. Desde EUROCYBCAR explican que algunos elementos del coche ‘inteligente’ pueden presentar vulnerabilidades, y que lo lógico sería que fueran a más.
Por su parte, la firma de investigación de mercado Counterpoint Insights ha informado de que para este 2022 ya se habrá producido un aumento del 270% del mercado de coches conectados. Es más, el grupo añade que el próximo año, la industria del automóvil previsiblemente liderará la demanda de conectividad. En la actualidad, existe consenso con respecto a las amenazas de ciberseguridad a los vehículos. Cuanto más crezca este sector, mayores serán los anhelos de los crackers por sacar beneficios de sus ataques.
Fallos que dan pie a las amenazas
Lo primero es tener en cuenta que un coche conectado, al igual que cuando se activa Bluetooth o el Wifi en otro aparato, hará lo propio al estar al alcance de una red similar. A través de canales de radiofrecuencia, de un ordenador o un móvil, será aprovechable por el cracker para encontrar una brecha de seguridad, acceder y robar información valiosa. Más allá, puede hacer mal funcionar los sistemas del vehículo para atacar al conductor.
David Sancho, Senior Threat Researcher de TrendMicro, alerta a la industria para que se tome en serio el encontrar y solucionar fallas y lagunas en sus sistemas. Como ejemplo de punto débil, un sistema muy escalonado en la cadena de suministro. El motivo es que, si se encuentra un problema técnico, pueden darse retrasos graves al actualizarse el “firmware” -programa informático que dirige los circuitos electrónicos del dispositivo- de las ECU.
Otra laguna en ciberseguridad se produce en algunos protocolos de interconexiones ECU. Al diseñarlos no se ha pensado en incorporar características que la protejan. El resultado son emisores y receptores no autenticados, transferencias de datos sin cifrar, e incluso productos y servicios de posventa que no son seguros. Las tecnologías IoV -“Internet of Vehicles”- son hoy fáciles de comprar e incorporar al automóvil. Dispositivos multimedia que se sirven de Wifi o Bluetooth funcionan, generalmente, con firmwares desactualizados o poco seguros, y el ciberdelincuente aprovechará para infectar con programas maliciosos los sistemas del vehículo.
Una década de casos registrados
A lo largo de la última década, como se puede ver en la web de EUROCYBCAR, ya se han producido ataques de todo tipo a la ciberseguridad del vehículo. En concreto se robaron datos al usuario que utilizaba un parking, se propiciaron infernales atascos, se aceleraron y frenaron coches a distancia, se accedió sin el uso de la llave, se volvieron locos los sistemas, se pudo rastrear y seguir a conductores, se tomó el control de manera remota, y se abrieron puertas de vehículos a voluntad.
Sólo en enero de este mismo año se registraron seis amenazas preocupantes a la ciberseguridad automovilística. NetWalker es un grupo de crackers especializados en atacar con “ransomware” o secuestro de datos, donde primero se sustraen sin permiso y luego se pide un “rescate”. Recientemente se adueñaron de un fichero de 3GB, con datos comprometidos de la empresa de componentes automotrices NameSouth. La compañía estadounidense se negó a pagar por su devolución, y NetWalker publicó todo aquello que incluía. Datos de tarjetas de crédito, números de teléfono, identificaciones fiscales o nombres de clientes, entre otros.
Otros se producen desde dentro de la organización misma. Es el caso de un trabajador de la importante empresa de asistencia en carretera RAC. Datos de usuarios eran transferidos desde la compañía británica hacia una asesoría legal, especializada en accidentes de tráfico. Podría sonar como algo poco descabellado, pero el empleado decidió hacerlo por su cuenta y sin autorización. Esto sucedió a cambio de una compensación económica.
Los ciberataques son una realidad, algo que no para de crecer, sobre todo desde que comenzó la pandemia del coronavirus. Muchas empresas e instituciones se vieron entonces obligadas a digitalizarse. Es el caldo de cultivo idóneo para que los crackers encuentren cada vez más accesos. Podrán entrar no sólo a los sistemas de compañías, sino a los de vehículos y a los de seguridad de hogares. En definitiva, hoy ya se centran en acosar y perjudicar al individuo, y sus técnicas son cada vez más sofisticadas.
