Ataques

La ciberseguridad de tus neumáticos está “bajo presión”

Con las tecnologías actuales, medir la presión de cualquiera de tus neumáticos es una operación que requiere de fuertes medidas de ciberseguridad... ¿Qué están haciendo fabricantes como Continental y Michelin para que tu información esté protegida?

BMW Serie 3 tres cuartos trasera

¿Todavía te sorprende hasta dónde se ha llegado con los coches conectados? Pues espera a conocer el neumático conectado… Productos como el Track Connect de Michelin, repleto de sensores en su interior que envían información sobre el rendimiento del vehículo, la duración de sus gomas o las presiones que debes llevar.

El control de las presiones, quebradero de cabeza

En realidad, los fabricantes de neumáticos llevan años enfrentándose a un gran reto de ciberseguridad. La protección de los sistemas de monitorización de las presiones (TPMS, por sus siglas en inglés) es una cuestión especialmente delicada. Los TPMS conectados vienen preocupando a los investigadores independientes ya desde 2016. Ese año, se publicaron sendos artículos científicos sobre sus riesgos y cómo paliarlos. La propia administración nacional del tráfico estadounidense (la NHTSA) exigía unos requisitos de diagnóstico que implicaban su conexión inalámbrica a la centralita electrónica del coche (ECU) y al protocolo de comunicaciones CAN Bus. Sin embargo, un equipo de investigadores del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) recomendó un protocolo de encriptación más seguro.

Por su parte, otro equipo de las universidades de Carolina del Sur y Rutgers logró interferir en un sistema TPMS, desde una distancia de 40 metros. Estos especialistas consiguieron insertar mensajes falsos de advertencia sobre el estado de las presiones. En consecuencia, recomendaron que el sistema dejara de fiarse exclusivamente de la centralita electrónica para mostrar las alertas; en vez de eso, debería contrastar la información de la ECU con las presiones reales por otra vía. Es más, advertían de que, debido a los sensores que incorporan los TPMS, un hacker malicioso podría realizar un seguimiento de nuestro vehículo, atentando contra nuestra privacidad.

¿Cómo afronta un fabricante este riesgo?

Pero hay buenas noticias para todos estos investigadores preocupados: la firma Continental asegura que sus soluciones TPMS ya “están integrando varias barreras”. Así, Continental aplica un análisis de riesgos y amenazas, a partir del cual identifican las soluciones que mejor se ajustan para la ciberseguridad de sus productos. En el proceso de desarrollo de sus productos, Continental ya cumple con el estándar UNECE R155; y, muy en particular, lo cumplen sus soluciones para la monitorización de las presiones. “Este nuevo estándar llevará a nuestros productos a un nivel mayor de seguridad”, afirman desde la compañía.

Pero, ¿qué es el estándar UNECE R155? Es un conjunto de disposiciones de Naciones Unidas para la homologación de vehículos, que impone una serie de requisitos a sus sistemas de gestión de la ciberseguridad. De acuerdo con este estándar, a partir del 1 de julio de 2022, antes de comercializar un vehículo, los fabricantes de automóviles tienen que proporcionar un análisis de los riesgos críticos e identificar las medidas con las que mitigarlos; todo ello demostrando que dichas medidas funcionan según lo previsto. En consecuencia, al cumplir con el UNECE R155, Continental garantiza que sus sistemas TPMS supera estos análisis y pruebas.

Entre los tests que impone Continental a sus TPMS, destacan las llamadas “pruebas difusas”: éstas consisten en proporcionar inputs engañosos al software, para averiguar si es capaz de detectar los errores; en caso de no detectarlos, podríamos estar hablando de vulnerabilidades que los cibercriminales aprovecharían… Además, si un cliente o una agencia certificadora se lo pide, Continental afirma estar preparada para superar un “pen test” o test de penetración: es decir, simular directamente un ciberataque al sistema para encontrar las vulnerabilidades.

La homologación de una fábrica

Paralelamente, en el último trimestre de este año, Continental también se quiere asegurar de certificar su fábrica de Toulouse (Francia) con el estándar TISAX. Este certificado responde a las siglas en inglés “Trusted Information Security Assessment Exchange”. El estándar TISAX certifica que la información sensible manejada por una organización está a buen recaudo; y que, por lo tanto, sus socios no tienen nada que temer si le proporcionan información sensible.

Para comprobarlo, TISAX publica los resultados en una plataforma que pueden consultar los proveedores y fabricantes. De esta manera, constatan que se pueden fiar de la gestión segura de la información que compartan con esa compañía. Para obtener la certificación TISAX, los proveedores que manejan datos externos altamente sensibles se someten a una inspección in situ realizada por un auditor del TÜV SÜD (el equivalente a la ITV alemana). Una vez que la empresa recibe el informe de los auditores, ésta tiene que eliminar las vulnerabilidades que se hayan detectado; sólo entonces podrá subir todo su informe a la plataforma de intercambio.

Proteger una app para proteger tu flota

Por su parte, Michelin se precia de llevar dedicándose a los servicios de movilidad desde su fundación, y no sólo a los neumáticos. En este sentido, la compañía ofrece un servicio de gestión avanzada de flotas llamado Michelin Connected Fleet. Con los datos que este servicio recopila, el sistema proporciona asesoramiento para optimizar la productividad de nuestra flota, la protección de la carga, el mantenimiento de los vehículos…

Michelin Track Connect Porsche 011 GTS detalle llanta

¿Cómo evitar sustos con Michelin Connected Fleet? Con este objetivo, la firma francesa ha desarrollado toda una política de Clasificación y Manejo de Información para aquellos datos externos a su sistema de producción; es decir, fundamentalmente los producidos desde los vehículos del cliente. Si realmente existe un riesgo para la información generada, los datos se encriptan en el tránsito desde su fuente original hasta el dispositivo de destino; al igual que en el momento en el que se accede a ellos, siguiendo estrictos protocolos. Por ejemplo, la aplicación recurre a bcrypt, una función que permite aumentar la complejidad del cifrado de las contraseñas. Sin embargo, Michelin admite que los datos de geolocalización no se encriptan en ningún caso debido a limitaciones de procesamiento. Entre los controles de seguridad para el acceso a la información compartida con la aplicación, destaca un sistema biométrico con dos factores.

El enfoque global de Michelin

Para Michelin, es importante que se avance hacia estándares que permitan la libre competencia entre proveedores; pero que, al mismo tiempo, garanticen la seguridad de los datos que se comparten. Por eso, la marca propone un concepto de Interfaz Segura del Vehículo (SVI, por sus siglas en inglés), en la cual la seguridad de las comunicaciones entre éste, las unidades telemáticas y los servidores externos (como los de infraestructuras) esté garantizada por una autoridad independiente. El fabricante francés entiende que una infraestructura segura de comunicaciones en el transporte debe basarse en estándares internacionales; un sistema de autorización criptográfica con certificados de identidad; y un equipo de expertos en ciberseguridad que resuelvan las vulnerabilidades antes de que alguien las explote.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.