Expertos HC

¿Qué deben mejorar las marcas de coches en ciberseguridad?

Hace unas semanas, Nissan filtró sin querer datos internos. Y no es la única marca que ha tenido un fallo de estas características. Los fabricantes deben aprender de ellos para mejorar su ciberseguridad.

Imagen de un aula, con una pizarra pequeña, una mesa y varios libros sobre ella
Foto: Piqsels.

Pisar el acelerador de un vehículo ciberseguro sigue siendo un sueño imposible para muchos fabricantes de automóviles. Y el último en unirse al tren de las filtraciones de datos por culpa de errores frívolos fue Nissan Norte América, cuando varios repositorios de código se hicieron públicos, después de que la compañía dejase un servidor Git expuesto protegido con credenciales predeterminadas -Nombre de usuario: admin, Contraseña: admin-.

Fugas en varias marcas

El tesoro contenía 20 gigabytes de datos de Git, incluidos datos de:

  • Aplicaciones móviles de Nissan NA.
  • La herramienta de diagnóstico Nissan ASIST.
  • Sistemas comerciales para distribuidores / Portal para distribuidores.
  • Biblioteca móvil central interna.
  • Servicios de Nissan / Infiniti NCAR / ICAR.
  • Herramientas de captación y retención de clientes.
  • Herramientas de investigación de mercado.
  • Portal de logística de vehículos.
  • NissanConnect.

El código fue descubierto por una consultora y desarrolladora de TI suiza Tillie Kottmann, que también destacó que los datos se ofrecían en enlaces de torrents y grupos de Telegram.

Después de los avisos, Nissan reconoció la filtración y dijo que se estaba llevando a cabo una investigación. “Nissan llevó a cabo una investigación inmediata en relación con el acceso indebido a código fuente de la compañía propietaria”, explicó la compañía. “Nos tomamos este asunto en serio y estamos seguros de que no se pudo acceder a los datos personales de los consumidores, distribuidores o empleados con este incidente de seguridad. El sistema afectado ha sido asegurado y estamos seguros de que no hay información en el código fuente expuesto que pueda poner en riesgo a los consumidores o sus vehículos”. Nissan también declaró que eliminó el servidor Git, aunque algunos informes indicaron lo contrario.

En su mayor parte, todo el incidente fue un vergonzoso fallo de seguridad. Y no es solo culpa de Nissan. Tillie Kottmann había encontrado anteriormente una vulnerabilidad con Mercedes cuando pudo descargar más de 580 repositorios de Git que contenían el código fuente de las unidades lógicas integradas -OLU- instaladas en furgonetas de esa marca. 

Pero eso no es todo. Hace unos meses, una violación de datos afectó a 384.319 clientes de BMW en el Reino Unido. Entre la información afectada, había apellidos, direcciones de correo electrónico, números de registro de vehículos, dirección residencial, nombres de concesionarios, información de registro de automóviles, nombres de concesionarios.

Pecado habitual de los fabricantes de automóviles

La mayoría de estos incidentes, y varios otros que no se han mencionado aquí, destacan la terrible situación de la ciberseguridad entre los fabricantes de automóviles. “Los fabricantes de automóviles han sacrificado la ciberseguridad de decenas de automóviles modernos en aras de la comodidad. Y, con otros métodos de robo de coches que también abundan y el número de vehículos robados en subiendo, los fabricantes deben hacer más para que sus automóviles sean más seguros”, sugiere un informe anterior de CISO MAG.

Varios fabricantes son insensibles a la ciberseguridad. Lo que varios de ellos no entienden es que la ciberseguridad es esencial en el camino por delante. Los ciberataques podrían costarle a la industria automotriz  21 mil millones de euros en cinco años.

Según un estudio de Ponemon, casi el 30% de las empresas del segmento automotriz no cuentan con un equipo de ciberseguridad adecuado para manejar su tecnología e infraestructura de seguridad, y mucho menos asegurar autos inteligentes. El estado es tan terrible que muchos ni siquiera contratan a un proveedor externo para asegurar el software en los automóviles conectados.

“A medida que más vehículos conectados salen a las carreteras, las vulnerabilidades de software se vuelven accesibles para los piratas informáticos malintencionados que utilizan redes celulares, Wi-Fi y conexiones físicas para explotarlos”, dijo en el informe el grupo de investigación de protección de datos del Instituto Ponemon . “No abordar estos riesgos puede ser un error costoso, incluido el impacto que pueden tener en la confianza del consumidor, la privacidad personal y la reputación de la marca”.

El estudio también señaló que casi el 63% de todos los fabricantes de vehículos ni siquiera prueban la mitad de su software, hardware y otras tecnologías implementadas en sus vehículos. El estudio incluyó a 15.900 profesionales e ingenieros de seguridad de TI de la industria automotriz.

Coches conectados, una amenaza interna

En un momento en el que se predice que los automóviles generarán 25 gigabytes de datos por hora, las empresas pueden necesitar considerar los automóviles conectados como una amenaza interna debido a su vulnerabilidad al robo de datos. Los automóviles vienen con funciones conectadas para emparejar el móvil para varios propósitos, como conducción con manos libres, acceso a información y entretenimiento, GPS y mapas. 

Emparejar dispositivos como teléfonos inteligentes que transportan datos confidenciales a la red de un automóvil puede representar una seria amenaza. Los datos amenazados pueden ser personales o pertenecer a una empresa debido a que por culpa del COVID-19, varios empleados acceden a correos electrónicos oficiales en dispositivos personales.

Y, a menudo, los jefes de seguridad de la información ignoran la cantidad de aplicaciones en la nube en los dispositivos personales de los empleados. De hecho, según un informe de Symantec de 2017, cuando la mayoría de los CISO / CIO asumieron que los empleados de sus organizaciones utilizan hasta 40 aplicaciones en la nube en sus dispositivos -teléfonos inteligentes, tabletas, computadoras portátiles-, en realidad, el número se acercaba a los 1.000. El volumen de datos expuestos es enorme.

 Evitar fugas de datos por culpa de los coches

Los CISO deben estar más atentos; de lo contrario, es posible que vean un cambio en la forma en que ocurren las violaciones de datos. Para garantizar la prevención del robo de datos por amenazas internas a través de automóviles conectados, las organizaciones pueden hacer lo siguiente:

  • Capacitar a los empleados sobre técnicas seguras de emparejamiento de dispositivos y automóviles.
  • Animar a los empleados a cargar dispositivos móviles en el coche a través del mechero y no del USB.
  • Animar a los empleados a implementar diversas medidas de seguridad, como instalar firewall, antivirus y software de cifrado en sus dispositivos.
  • Los dispositivos propiedad de la empresa deben contar con software de administración de dispositivos móviles -MDM-.
  • En caso de que el dispositivo se pierda, debe haber una forma de localizarlo y bloquearlo. Y, si es necesario, debe contar con un interruptor de apagado.

*Artículo escrito por Augustin Kurian y publicado originalmente en Ciso Mag.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.