Ataques

Los coches conectados: ¿Son más seguros o tienen más riesgos?

Queda claro que los vehículos seguirán incrementando de forma paulatina su conectividad con todo lo que les rodea. Algo que será beneficioso, pero que también va a implicar riesgos, como alertan los expertos.

Imagen arte digital de un vehículo eléctrico en un punto de recarga
Imagen generada por la IA de Bing

Nuestros vehículos todavía están lejos de ser autónomos, pero están altamente conectados. Desde los frenos hasta el acelerador, el entretenimiento y las funciones de seguridad como el asistente de carril, el control de crucero adaptativo, las bolsas de aire y las cámaras de retroceso, todo depende del software.

El vehículo moderno se basa en más de 100 millones de líneas de código, gran parte de las cuales envían y reciben datos desde internet. De ahí la etiqueta que ya no es nueva ni exagerada: teléfonos inteligentes sobre ruedas.

Todo esto significa que la calidad, uso y control de todo ese código tiene importantes implicaciones para nuestra seguridad, protección y privacidad.

Este artículo, examinará cómo el software afecta la seguridad física automotriz y qué están haciendo la industria y el gobierno (Estadounidense) para abordar los desafíos.

Lo primero que hay que tener en cuenta sobre el papel del software en la seguridad física de un vehículo es que no puede separarse por completo de la seguridad. Un mal software no solo afecta tu GPS o la radio, puede llevar al riesgo de daño físico, lesiones y muerte.

El ejemplo más destacado de lo que podría permitir un software vulnerable se remonta a casi una década, cuando los investigadores de seguridad Charlie Miller y Chris Valasek demostraron al reportero de Wired, Andy Greenberg, que podían piratear de forma remota su Jeep mientras conducía a unos 70 millas por hora cerca de St. Louis.

No solo tomaron el control de cosas como el sistema de entretenimiento, el control del clima, los limpiaparabrisas y el líquido lavador, sino también controles mucho más esenciales como el acelerador, los frenos y la dirección.

Un par de años después, toda la industria se enfrentó a un informe de investigadores que revelaba una falla de diseño en el CAN Bus, esencialmente el sistema nervioso del automóvil, lo que permitía que un hacker tomara el control de un vehículo. Según el informe, la falla era “neutral para el vendedor” y no se podía corregir hasta que la siguiente generación de vehículos saliera de la línea de ensamblaje.

La respuesta de la industria ha sido agresiva y alentadora. Existen varios estándares que buscan abordar tanto la seguridad como la seguridad. Algunos de los enfoques en la seguridad física incluyen:

  • ISO 26262: un estándar internacional de seguridad funcional para el desarrollo de sistemas eléctricos y electrónicos en vehículos de carretera. Creado en 2011 y actualizado en 2018, tiene pautas para minimizar el riesgo de accidentes y garantizar que los componentes automotrices cumplan sus funciones previstas correctamente y en el momento adecuado.
  • ISO/SAE 21434:2021: Ingeniería de ciberseguridad para vehículos de carretera, sucesor de SAE J3061, que ofrece principios rectores para la seguridad de sistemas ciberfísicos.
  • ISO/PAS 21448: orientación sobre la seguridad de la funcionalidad prevista (SOTIF). Un sistema debe funcionar según lo previsto.
  • AEC-Q100: un estándar destinado a garantizar la seguridad de las piezas electrónicas utilizadas en los automóviles. Se centra en la fiabilidad y en las pruebas de resistencia para circuitos integrados en aplicaciones automotrices.

La Administración Nacional de Seguridad del Tráfico en Carreteras del Departamento de Transporte de EE. UU. tiene su “Mejores Prácticas de Ciberseguridad para la Seguridad de Vehículos Modernos”, que incluye un componente de seguridad física descrito como un “proceso de identificación y protección priorizado basado en riesgos para los sistemas de control de vehículos críticos para la seguridad”.

Es importante tener en cuenta que, aunque ninguno de estos estándares es una ley, se consideran obligatorios a cierto nivel, como un ejemplo de la industria que intenta autorregularse. Los fabricantes de vehículos ven los estándares como una forma de demostrar su compromiso con políticas y procesos establecidos y protegerse de responsabilidades.

En cuanto a los resultados, ¿está funcionando? La respuesta es un “más o menos”. Los vehículos de hoy son mucho más seguros que los de hace una generación, pero, al igual que ocurre con el propio software, nada es infalible. No importa cuántos sistemas de seguridad se integren en los vehículos, no hay garantía de que nadie saldrá herido o muerto.

Los riesgos están en constante evolución, especialmente cuando se trata de software, lo que significa que la industria automotriz aún enfrenta múltiples desafíos de seguridad. En primer lugar, es imposible y costoso construir un vehículo 100% seguro. Un enfoque completamente seguro sería inasequible para la mayoría de los consumidores.

En segundo lugar, no hay un único nivel de seguridad. Cada vehículo incluye docenas de sistemas y algunos deben ser más seguros que otros. Esto significa que las herramientas y métodos utilizados para desarrollar el hardware y software para estas soluciones deben cumplir con estrictos estándares sobre cómo pueden utilizarse para garantizar el rendimiento esperado.

En tercer lugar, cuanto más software se agrega a un sistema, mayor es la denominada “superficie de ataque”. A medida que se agrega más software a los sistemas, aumenta la probabilidad de que un atacante encuentre una forma de influir o comprometer un sistema de seguridad.

En cuarto lugar, además de la conexión de vehículos con sistemas externos (GPS, control de crucero, asistencia de carril, etc.), ahora hay más conexiones internas de software. A medida que los consumidores esperan la conducción autónoma y otras funciones de automatización, las interacciones entre estos sistemas críticos son necesarias, lo que crea preocupaciones considerables desde el punto de vista de la seguridad para los desarrolladores.

El cumplimiento del estándar ISO 26262 no es fácil. Entre las dificultades citadas se encuentran la complejidad, el tiempo y el costo, las pruebas y validaciones, la evaluación de riesgos, la trazabilidad y el soporte de herramientas. Aun así, se ha logrado un progreso considerable y aún hay mucho por hacer.

En última instancia, la seguridad automotriz y la ciberseguridad son desafíos continuos. Al igual que con los sistemas de seguridad, la industria automotriz seguirá evolucionando para abordar los riesgos y mejorar la protección de los usuarios.


Artículo publicado originalmente en medium.com

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.