Ataques

Los coches conectados tienen estos problemas de ciberseguridad

Los crackers pueden amenazar de múltiples formas a los vehículos. Pero algunos ataques son más frecuentes que otros. Este estudio clasifica algunos casos según el riesgo que hay de que ocurran.

En la imagen aparece un hombre utilizando una tablet

Una investigación de Trend Micro ha clasificado un total de 29 posibles ciberataques que pueden sufrir los coches conectados según la probabilidad de que sucedan.

El estudio, titulado «Impulsar la seguridad en vehículos conectados: Recomendaciones y modelo de amenazas»analiza los puntos ciegos de la ciberseguridad de los vehículos conectados «para ayudar a los desarrolladores y fabricantes a crear vehículos seguros e inteligentes».

Y es que desde Trend Micro trabajan con unas previsiones de 152 millones de coches conectados en todo el mundo antes de que finalice 2020, cifra que llegará a los 700 millones en 10 años. Además, estiman que los automóviles autónomos o autónomos representarán el 10% de las compras de automóviles para 2034.

Análisis de 29 casos reales

Por eso, el informe analiza 29 casos reales de ataques que se ejecutaron de forma exitosa al menos una vez, logrando alterar determinadas funciones del vehículo. Una vez hecho eso, los clasifica según su nivel de riesgo: bajo, medio o alto. Esa jerarquización tiene en cuenta el modelo de amenaza DREAD -daño potencial, reproducibilidad, explotabilidad, usuarios afectados, descubribilidad-. 

Los tres niveles de este modelo son:

  • Ataques de alto riesgo. Para ejecutar este tipo de amenazas, solo se necesitan unos conocimientos básicos del funcionamiento interno de un automóvil conectado, así que pueden ser llevados a cabo por un atacante poco cualificado. Estas amenazas explotan las vulnerabilidades que se encuentran en las aplicaciones y los sistemas más utilizados. Por eso, el daño potencial, la reproducibilidad, la explotabilidad y la descubrilidad de estos ataques son altos. Sin embargo, el número de usuario a los que puede afectar es bajo. Bloquear electrónicamente los sistemas de seguridad de un automóvil conectado, como el radar y el LIDAR, sería un ejemplo de este tipo de ataques.
  • Ataques de riesgo medio. Para llevarlas a cabo, se necesitan crackers con conocimientos fundamentales de los sistemas a atacar. Además, estos ataques pueden reproducirse, pero solo dentro de las limitaciones establecidas. El daño potencial que puede lograrse con ellos es alto, pero su reproducibilidad es baja. Por su parte, la explotabilidad, los usuarios afectados y la descubrilidad son medios.
  • Ataques de bajo riesgo. Este tipo de ataques requiere un alto nivel de habilidades técnicas y un conocimiento profundo de las plataformas de automóviles conectados, por lo que es más improbable que sucedan. Dada su naturaleza especializada, afectarían solo a un pequeño porcentaje de los usuarios habituales. Por eso, su reproducibilidad, explotabilidad, usuarios afectados y descubrilidad son bajos. Eso sí, el daño potencial que pueden causar de llegar a ser ejecutados es alto.

¿Cómo de probable es que tu coche sufra determinado ciberataque?

El estudio utilizó ese modelo de amenazas para clasificar 29 ciberataques que sufren los coches conectados. El 17% de ellos fueron considerados de alto riesgo, el 66% de riesgo medio y el 17% restante de bajo riesgo.

De entre todos ellos, la amenaza que mayor riesgo entraña sería el de lanzar ataques de denegación de servicio -DDoS– contra un sistema inteligente de transportes -ITS-. Este tipo de crackeo impediría al sistema conectarse con los vehículos con los que debería establecer comunicación. El objetivo es desconectar la infraestructura de ITS para que el automóvil conectado no pueda enviar ni recibir mensajes.

Un cruce de calles en una ciudad con varios vehículos que intercambian datos entre sí, como muestra de los coches conectados a la ciudad

En el otro extremo, el ataque menos probable de entre todos los estudiados por Trend Micro es el de transmitir o instalar firmware o aplicaciones maliciosas en los coches.

Los 29 ciberataques estudiados en este informe se dividen de la siguiente manera según su riesgo:

  • Riesgo alto: ataques de denegación de servicio contra ITS; lanzar ataques distribuidos de denegación de servicio utilizando una infraestructura de ITS comprometida; descubrir y abusar de sistemas remotos vulnerables usando Shodan -un motor de búsqueda para dispositivos conectados a Internet-; interferencia electrónica de transmisiones inalámbricas para interrumpir las operaciones; y bloquear electrónicamente los sistemas de seguridad de un automóvil conectado, como radares y LIDAR.
  • Riesgo medio: escanear la red V2X desde un automóvil conectado para descubrir topología y nodos; comprometer una cadena de suministro de software de terceros para impulsar actualizaciones maliciosas; convertir un automóvil conectado en un punto de entrada confiable a una red V2X; realizar ataques tradicionales como inyección de SQL -lenguaje de consulta estructurado-, scripting entre sitios -XSS-, secuestro de sesiones y suplantación de DNS -sistema de nombres de dominio-; inyectar scripts maliciosos a través de publicidad maliciosa; fuerza bruta de credenciales y abuso de métodos de autenticación débiles; realizar ataques de ingeniería social, como la creación de mensajes RDSTMC falsos, suplantación de identidad –phishing– y envenenamiento de mapas; identificar y abusar de las configuraciones incorrectas del dispositivo; atacar el procesamiento de imágenes del sistema de la cámara para introducir otras imágenes; explotación de vulnerabilidades en software, hardware, sistemas operativos y protocolos; instalar una aplicación maliciosa en un teléfono móvil conectado; instalar aplicaciones maliciosas de terceros en el sistema de información y entretenimiento de un automóvil conectado; volcar firmware para recuperar credenciales y configuraciones; realizar un ataque de intermediario con transmisión inalámbrica para interceptar y modificar los datos del automóvil; detectar el tráfico de red entre un automóvil conectado y los sistemas inteligentes de transporte de back-end; envío de comunicaciones mediante ataques de intermediario y datos falsos a ITS de back-end; enviar comandos incorrectos o inapropiados a los ITS de back-end; detectar de forma pasiva los mensajes V2X que se transmiten al ecosistema; y suplantar la identidad en los mensajes que se transmiten al exterior mediante la tecnología V2X.
  • Riesgo bajo: instalar malware o spyware en un automóvil conectado; eliminar archivos locales en el sistema de archivos de un coche conectado atacado; secuestrar vehículos de forma remota a través de un bus CAN comprometido; usar el Bluetooth, Wifi o la tarjeta SIM -módulos de RF- para acceder a la unidad principal a través de complejas cadenas de explotación; y transmitir o instalar firmware o aplicaciones maliciosas en los coches.

¿Cómo evitar estos riesgos?

La investigación concluye sugiriendo medidas a implementar por los fabricantes para evitar estos ciberataques.

Según explica, los desarrolladores y fabricantes deben incorporar seguridad en las diversas tecnologías conectadas que se utilizan en los automóviles conectados, y deben tener una mejor visibilidad de todo el ecosistema del automóvil conectado para que los automóviles conectados funcionen sin problemas y de forma segura.

El principio clave de la defensa es asumir un compromiso y tomar las contramedidas adecuadas:

  • Identificar y responder rápidamente a las violaciones de seguridad en curso.
  • Contener la brecha de seguridad y detener la pérdida de datos confidenciales.
  • Prevenir los ataques asegurando todas las vías explotables.
  • Aplicar las lecciones aprendidas para fortalecer aún más las defensas y prevenir incidentes repetidos.

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.