Expertos HC

Los 10 desafíos de ciberseguridad para los coches conectados

WiFi, infoentretenimiento, aplicaciones para smartphohne... El coche conectado ya está aquí. Pero también lo están los riesgos en ciberseguridad que conlleva. Por eso es importante tenerlos en cuenta y subsanarlos.

Se prevé que las ventas de coches conectados crezcan significativamente en los próximos años. Todo ello se producirá a medida que las innovaciones en conectividad transformen la industria automotriz

Los beneficios para los consumidores son numerosos: la conectividad ofrece a los conductores todo, desde medios de transmisión de alta definición, acceso a WiFi, sistemas de entretenimiento mejorados, hasta la capacidad de controlar de forma remota aspectos del vehículo utilizando aplicaciones de teléfonos móviles.

Sin embargo, como con cualquier otro dispositivo que se conecta a Internet, existe un riesgo potencial para la seguridad automotriz: los ciberdelincuentes. Y es que los ciberataques que estos puedan causar tendrían como resultado la filtración de datos personales, amenazas a los mecanismos esenciales de seguridad y protección de un vehículo y, en casos extremos, el control remoto total del automóvil. Y, a medida que la industria avanza hacia vehículos más autónomos, estos riesgos aumentarán debido a la dependencia de las aplicaciones, la conectividad y los componentes electrónicos más complejos e integrados.

Sistema conectado de BMW para híbridos enchufables

No abordar estos riesgos podría tener un efecto catastrófico en la confianza del consumidor, la privacidad, la reputación de la marca y, lo más importante, la seguridad del cliente.

¿Cuáles son los principales riesgos?

  • Robo de datos personales. A medida que la cantidad de sensores en los vehículos aumenta rápidamente, existe la posibilidad de que los piratas informáticos roben información de identificación personal -PII- de los sistemas del vehículo, como datos personales de viaje y ubicación, preferencias de entretenimiento e incluso información financiera.
  • Robo de vehículos. Como las llaves digitales, los llaveros inalámbricos y las aplicaciones móviles reemplazan las llaves físicas tradicionales de los autos, los ladrones de autos pueden obtener una entrada no autorizada al vehículo. Esto se puede hacer interceptando la comunicación entre un teléfono inteligente o un llavero inalámbrico y el vehículo, utilizando dispositivos que extiendan el alcance de la señal inalámbrica y emulen la llave inalámbrica para acceder a un vehículo utilizando el llavero inalámbrico del propietario, si el propietario todavía está cerca de su vehículo. Administrar las llaves virtuales del automóvil puede ser tan difícil como administrar las llaves físicas, si no se realiza correctamente. La inscripción de una clave, la validación de un intento de «desbloqueo» y, lo más importante, la revocación, deben manejarse de manera segura.
  • Riesgos de conexión. Los ciberdelincuentes pueden explotar fallas en la implementación de un proveedor. Dado que la seguridad a veces ha sido una ocurrencia tardía para los automóviles conectados y sus componentes, esto crea un objetivo fácil para los piratas informáticos que explotan vulnerabilidades utilizando redes celulares, Wi-Fi y conexiones físicas. Además, los vehículos conectados deben ser capaces de confiar en los componentes y servicios a los que se conectan y en los que confían.
  • Manipulación de sistemas críticos para la seguridad. Existe la posibilidad de que los piratas informáticos tomen el control de los aspectos críticos para la seguridad de la operación de un vehículo, por ejemplo, comprometiendo el sistema de control de crucero para manipular la dirección y el frenado.
  • Vulnerabilidades de seguridad de aplicaciones móviles. A medida que los fabricantes lanzan más aplicaciones móviles para comunicarse con los vehículos, más se convierten en un objetivo para los malos actores. Por ejemplo, en el caso del Nissan Leaf, los probadores de seguridad demostraron cómo podían obtener acceso no autorizado para controlar el volante, los asientos, los ventiladores y el aire acondicionado con calefacción. En un vehículo eléctrico, esto puede agotar la batería y dejarla inmóvil. Según Gartner, el 75% de las aplicaciones móviles no pasan las pruebas de seguridad básicas. El número de vulnerabilidades de seguridad en los sistemas operativos móviles Android e iOS también es motivo de preocupación.
  • Falta de seguridad «diseñada». La industria automotriz tiene poca experiencia histórica en el manejo de riesgos de ciberseguridad y esto se ha hecho evidente por la falta de seguridad incorporada en muchos de los componentes de software y hardware en las primeras generaciones de automóviles conectados. Además, parece haber una falta de educación adecuada sobre prácticas de codificación seguras y pruebas de seguridad rigurosas, muchas de las cuales tienen lugar demasiado tarde en el ciclo de vida del desarrollo del producto. Y, para reducir los costos de los componentes, algunas funciones críticas y no críticas para la seguridad pueden compartir recursos -núcleos de procesador, conectividad física o acceso a Internet-. Diseñar desde cero, desde la perspectiva de un entorno hostil, es la única forma de construir sistemas “seguros por diseño” que serán robustos a largo plazo.
  • Vulnerabilidades de seguridad en la compleja cadena de suministro. Los fabricantes de automóviles dependen en gran medida de proveedores externos para suministrar sistemas, software y componentes de hardware para sus vehículos. Sin embargo, a menos que los fabricantes de automóviles impongan requisitos rigurosos de ciberseguridad a sus proveedores de nivel 1 y 2, corren el riesgo de introducir vulnerabilidades de seguridad a través de estos componentes. Los componentes falsificados también pueden ingresar a la cadena de suministro, amenazando la seguridad al reducir las clasificaciones de desgaste, anular los límites de seguridad, etc. Cualquier componente responsable de las actividades primarias, como el frenado, claramente necesita cumplir con los más altos estándares de seguridad.
  • No mantenerse al día con los últimos parches y actualizaciones de seguridad. A medida que se descubren nuevas amenazas y ataques, la única solución efectiva es garantizar que las plataformas puedan actualizarse de manera fácil y segura una vez implementadas en el campo. Muchas de estas actualizaciones se entregan a través de software, componentes y sistemas suministrados que dependen de redes de comunicaciones inalámbricas conectadas a dispositivos informáticos personales, con sus propios desafíos de seguridad inherentes.

Estos sistemas de habitáculos digitales cada vez más sofisticados traerán nuevas experiencias para conductores y pasajeros, pero también crearán desafíos de seguridad y protección de contenido.

  • Procesos inadecuados de gestión de claves. Aunque la mayoría de los fabricantes de automóviles utilizan sistemas de gestión de claves para la gestión de claves criptográficas, algunos todavía utilizan un proceso manual, lo que limita su utilidad y dificulta la seguridad.
  • Vulnerabilidades de información y entretenimiento de vehículos -IVI-. Las innovaciones en los sistemas de entretenimiento para vehículos, desde navegación por satélite hasta medios de transmisión de alta definición, brindan beneficios a los conductores, pero estas plataformas proporcionan cada vez más servicios que utilizan datos confidenciales y son críticos para la seguridad de los vehículos y usuarios finales. Tanto Android como Apple ofrecen sistemas de información y entretenimiento y tiendas de aplicaciones centradas en el vehículo, y hay oportunidades para combinar aplicaciones como el pago y las redes sociales con necesidades más centradas en el vehículo, como peajes, estacionamiento y planificación de viajes. La vinculación de estos mundos presenta nuevas posibilidades, pero también conlleva la amenaza de que el malware centrado en aplicaciones pueda atacar la plataforma automotriz.

La rápida transformación de la industria hacia la movilidad autónoma, conectada, eléctrica y compartida -ACES-, y el aumento de la conectividad 5G, está permitiendo a los fabricantes de automóviles ofrecer nuevos servicios en el vehículo y contenido rico. Estos sistemas de habitáculos digitales cada vez más sofisticados traerán nuevas experiencias digitales personalizadas para conductores y pasajeros, pero también crearán desafíos de seguridad y protección de contenido que deben abordarse con confianza comprobada.

Dado que los automóviles tienen ciclos de vida tan largos en comparación con otros dispositivos inteligentes, los fabricantes de equipos originales -OEMs- innovadores y los proveedores de nivel 1 deben construir arquitecturas de automóviles conectados con la seguridad a largo plazo en el punto de mira.

*Articulo publicado originalmente por Ben Cade, CEO de Trustonic, en IoT Bussiness News.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.