Expertos HC

Ciberseguridad en la industria del automóvil: ¿Una prioridad descuidada?

En la era del automóvil conectado, la integración de tecnologías avanzadas como el eSIM y las actualizaciones remotas de software han revolucionado nuestra experiencia al volante. Sin embargo, junto con estos avances, surgen desafíos de seguridad que amenazan la integridad de los conductores y la privacidad de los datos.

Durante los últimos 10 años, la industria automotriz ha estado involucrada en un proceso de electrificación y automatización que está revolucionando la forma en la que conducimos. Ya no nos extrañamos cuando nos dicen que nuestro coche dispone de una eSIM, que está conectada o, simplemente, que se puede actualizar el software del vehículo a través de internet.


Todas estas cosas que hace años podrían parecer de ciencia ficción, hoy en día son una realidad. Es cierto, que la incorporación de estas tecnologías ha traído numerosos beneficios para los conductores. Desde sistemas de información y entretenimiento infoentertainment – mejorados, hasta funciones de seguridad -safety- avanzadas. Sin embargo, esta mayor conectividad también trae consigo nuevos desafíos de seguridad que amenazan la seguridad y la privacidad de los conductores.


La incorporación de la conectividad ha hecho que la industria automovilística se haya convertido en el principal objetivo de los ciberdelincuentes, debido a la proliferación de vehículos conectados y la falta de madurez en ciberseguridad del mercado. Mientras que antes era necesario estar físicamente presente en el vehículo para realizar ataques, ahora, con los sistemas de comunicaciones inalámbricos incluidos en los vehículos, los ataques también se pueden realizar desde internet o desde la distancia con dispositivos capaces de hackear los sistemas de protección del vehículo.

Un repaso a los ataques más destacados de los últimos años

Para hacernos a la idea de la importancia que tienen los ciberataques en la industria y su impacto, vamos a hacer un repaso los ataques más destacados de los últimos años:

  • Toyota Japón: Las plantas de Toyota en Japón cerraron en febrero de 2022 después de que un proveedor sufriera un grave ciberataque. Se suspendieron 28 líneas de producción en 14 plantas, lo que afectó a 10.000 automóviles (5% de la producción mensual).
  • DENTSO: Los ciberdelincuentes atacaron Denso, un importante fabricante de componentes y tecnología, en marzo de 2022. La brecha en la red alemana de la empresa provocó el cierre de las conexiones de los dispositivos comprometidos. Los atacantes supuestamente afirmaron haber extraído 1,4 Tb de datos.
  • Electrify América: En enero de 2023, un actor malicioso pudo “desbloquear” las estaciones de carga de “Electrify América” y publicó videos que mostraban lo sencillo que era vulnerar este tipo de cargadores eléctricos.
  • Vehículos sin llave: El robo de vehículos sin llave se ha convertido en la amenaza más importante. Los ciberdelincuentes aprovechan las vulnerabilidades en la implantación de protocolos de comunicación entre la llave y el vehículo, lo que les permite interceptar la conexión de datos entre el automóvil y la llave. Consiguen “engañar” a los sistemas de autenticación para obtener acceso no autorizado al vehículo sin activar ninguna alarma. Si quieres leer más: Flipper Zero: Qué es capaz de hacer en un vehículo y por qué Canadá lo ha prohibido.

Varios investigadores determinaron que, en 2022, los robos de vehículos con sistema de apertura sin llave -keyless- representaron casi una quinta parte de todos los incidentes en la industria, y la cifra de ataques no deja de crecer.

Líneas de actuación

Viendo el panorama, no queda más que trabajar en la creación de estándares, que ayuden a crear normas para el sector automovilístico, y de este modo, garantizar la seguridad de los vehículos conectados.

La normalización es clave a la hora de impulsar la ciberseguridad en el vehículo conectado pero, también, es diferencial si hablamos de movilidad inteligente. Definir normas que establezcan criterios comunes, buenas prácticas, y estándares de calidad que faciliten la interoperabilidad, la compatibilidad y la confianza entre los diferentes sistemas, dispositivos y actores es el camino que se debe seguir.

Si bien, actualmente, podemos ver diferentes líneas de actuación que van desde las más técnicas, hasta la parte más regulatoria. Por ahora solo nos centraremos la parte más técnica, dejando de lado la parte regulatoria. Veremos una serie de líneas de actuación que pueden llevarse a cabo para mejorar la postura de la seguridad en el sector.

Estándares de ciberseguridad

Como decíamos, uno de los pasos más importantes para garantizar la ciberseguridad de los vehículos, es conseguir estándares que ayuden a que la industria cumpla una serie de requisitos establecidos que garanticen la seguridad. Profundizando en nuestro caso más cercano, Europa lleva tiempo trabajando en la creación de normativas propias, aunque lo lógico es que se adhiera también a las normativas que aprueba el Foro Mundial de la UNECE, conocido como UNECE WP29 que trata las medidas necesarias para crear un sistema de gestión de ciberseguridad en los vehículos que, al menos, contemple:
– La gestión de riesgos informáticos para los vehículos.
– La incorporación de la ciberseguridad en los vehículos “desde el diseño” para mitigar los riesgos en la cadena de suministro.
– La detección de los incidentes de seguridad en las flotas de vehículos y su correspondiente respuesta.
– La actualización de forma segura de el software de los vehículos, incluyendo una base legal para las actualizaciones over-the-air (OTA).

Ciberinteligencia para la lucha contra los ciberdelincuentes

Si profundizamos más en los aspectos técnicos, la observación y el conocimiento de lo que sucede; nuestro entorno se vuelve vital a la hora de mejorar nuestra postura en cuanto a la seguridad. Es aquí, donde la inteligencia de amenazas o CTI -por sus siglas en inglés- puede ayudar a las organizaciones a identificar y evaluar potenciales riesgos que podrían poner en riesgo la seguridad de sus vehículos. Con la monitorización constante, las organizaciones pueden intentar ir un paso por delante de los ciberdelincuentes.

Y es que, los “threat actors” tienen tras de sí un negocio muy lucrativo. Últimamente, se ha podido ver un aumento considerable de foros que en la DeepWeb venden dispositivos para robar automóviles sin llave. En uno de los casos un “threat actor” vendía su dispositivo listo para usar por 4000$ -permitía robar vehículos de dos conocidas-.

Según información de la empresa de ciberinteligencia KELA, el mismo “threat actor” vendía otro dispositivo que aparentemente era una “Game Boy”, pero lejos de ser una de las mejores consolas de Nintendo, era un dispositivo que permitía registrar los datos del automóvil y de ester modo engañar al sistema de seguridad del vehículo para que lo reconozca como un dispositivo autorizado para desbloquear el vehículo y arrancarlo.

ATM -Automotive Threat Matrix-

Por otro lado, creada por Auto-ISAC (Automotive Information Sharing and Analysis Center) tenemos ATM una matriz que enumera todas las TTPs (técnicas, tácticas y procedimientos) llevadas a cabo en un ciberataque, basada en la observación real. Esta matriz proporciona una taxonomía común de amenazas destinadas a fomentar la gobernanza de la ciberseguridad, esta taxonomía incluye:
• El modelado de evaluación de amenazas y riesgos
• El intercambio de inteligencia
• El análisis de tendencias de ataque
• Las respuestas frente a ataques
• Los informes de cumplimiento normativo
• Los test de intrusión

El mercado de la ciberseguridad en el sector de la automoción está dando sus primeros pasos, aunque no debemos ser negativos. Ya se observan acuerdos entre proveedores de soluciones de seguridad y las partes interesadas de la industria. Poco a poco, se observa cómo cala el mensaje de que la ciberseguridad debe ser una responsabilidad compartida por todos los miembros en la industria, desde los directivos hasta el usuario final, todos tienen un papel fundamental en la cadena de protección, y más teniendo en cuenta el mundo digital en el que vivimos.

Especializado en la gestión de la seguridad, tanto desde el punto de vista tecnológico como desde el punto de vista estratégico. Con más de 15 años de experiencia, ha ayudado a las empresas en las que ha ejercido como responsable, en el análisis, gestión y mitigación de los riesgos en las TIC, aplicando siempre las mejores prácticas y controles para aportar siempre una protección adecuada a la información, servicios y sistemas que posee la organización. Desde 2017, compagina su actividad profesional con la docencia en diversos masters de ciberseguridad.; recientemente colabora de forma altruista con itSMF España en el grupo de trabajo ITSM4Security en la elaboración de buenas prácticas para la gestión de los servicios de ciberseguridad. En el 2019 también participó como mentor en la I Liga Nacional de Ciberseguridad de la Guardia Civil

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.