Expertos HC

Preguntas sobre coches, ciberseguridad y ciberataques

Cada vez hay más coches conectados. Y eso lleva a que también se incrementen los problemas de ciberseguridad en los vehículos. Ante ese panorama, es normal que surjan múltiples preguntas.

Imagen de un coche prototipo muy futurista en un salón del automóvil
Foto: Piqsels.

Como se mencionó anteriormente en los diez principales riesgos de ciberseguridad no expresados, llevamos dos décadas hablando sobre el aumento del riesgo de los ciberataques a vehículos, varias vulnerabilidades reales descubiertas, un nuevo estándar internacional creado, las empresas haciendo cola por los 6.500 millones de euros que alcanzará el negocio de la ciberseguridad automotriz para 2027 y una certificación inminente que puede evitar la venta de algunos vehículos en varios continentes. La mayor parte de esto es progreso.

Dicho esto, la industria necesita madurar más en algunas cuestiones fundamentales sobre ciertos riesgos de ciberseguridad. Pero, como un adolescente, se crece tanto que madurar se hace difícil. Se estima que casi un billón de automóviles conectados estarán en la carretera para 2030. Pero, al mismo tiempo, muchos vehículos conectados actuales tienen entre 15 y 20 superficies de amenaza con nuevas características y conectividad agregadas, el número de fabricantes neófitos de vehículos eléctricos -EV- sin décadas de diseño de seguridad funcional ha pasado de dos -Tesla y Fisker Automotive- a cincuenta y cuatro -incluidos los de Rivian, Lucid y Faraday Future-, y el mundo está distraído por otros desarrollos importantes como los vehículos autónomos, COVID-19 y la división de acciones.

Mientras tanto, todos los fabricantes y proveedores están invirtiendo silenciosamente sin la supervisión o asistencia adecuada de terceros. «Comprender cómo y cuándo realizar los análisis de amenazas completos y de extremo a extremo y asimilar los aprendizajes en el desarrollo del producto no es fácil», dice Thomas Liedtke, consultor principal de ciberseguridad en Kugler Maag Cie. «Nueva funcionalidad, solicitudes de cambio y defectos no solo se cuela cuando los jefes de seguridad de la información no están mirando, sino que, por lo general, el marketing prioriza las nuevas características llamativas sobre el trabajo de seguridad dogmático, fundamental y funcional. La nueva certificación UNECE para ciberseguridad mejorará este desequilibrio, pero aún no facilita la priorización para equilibrar crecimiento y seguridad».

Es necesario hablar de los riesgos ocultos

Así que aquí hay diez riesgos tácitos por encima de los diez originales con agrupaciones y comentarios para que la industria automotriz comience a consumir, discutir y resolver:

En caso de que esperara que los gobiernos y la ley asociada se apresuraran en su defensa, hay varios problemas inherentes en todo el mundo:

Si un gobierno se da cuenta de una vulnerabilidad, ¿cuál es el nivel de riesgo que justifica una retirada del mercado?

Aquí no hay respuestas claras. Algunos crackeos pueden no estar intrínsecamente relacionados con la seguridad -por ejemplo, abrir puertas, bajar ventanas- pero podrían permitir el robo y/o crear distracciones. Y la historia ha demostrado que incluso dentro de un país con un impacto de seguridad y una escalabilidad similares -las dos variables que deberían regir las reacciones-, los políticos podrían ordenar una retirada en 48 horas o tardar cinco años, según el caso.

¿Cómo podría la política jugar un papel en la ciberseguridad internacional?

Hay muchas compañías automotrices que son propiedad parcial de gobiernos que participan activamente en la piratería internacional . Según BlackDuck y otras organizaciones de vigilancia, el 75% de los errores recogidos en las bases de datos de vulnerabilidades como el Instituto Nacional de Estándares y Tecnología -NIST- se expusieron previamente en la web abierta, profunda o «Dark Web» más de un año después de que ocurrió el crackeo, a veces habilitado por un gobierno que quiere que los piratas informáticos tengan éxito. Simple y llanamente, no seamos ingenuos: la política no tiene una definición universal de verdad y justicia.

¿Cuánto tiempo pasará hasta que los gobiernos capturen a los crackers?

Dejando de lado momentáneamente el creciente número de atacantes patrocinados por el estado, pocos gobiernos capturan a los piratas informáticos independientes debido a su práctica invisibilidad. Sí, Kevin Mitnick fue un prisionero de alto perfil durante cinco años, pero hay pocos Kevins en el mundo. Se suele representar a los crackers como fantasmas envueltos y vestidos con sudaderas con capucha por una razón: por lo general, no son identificables.

¿Cómo podrían mejorar las cosas las leyes de privacidad? 

La seguridad y la privacidad son dos cosas diferentes. Algunos lugares como California han logrado grandes avances en materia de privacidad, pero las regulaciones de ciberseguridad aún están por detrás de la UE. Algunos lugares como el Lejano Oriente tienen poca privacidad y los piratas informáticos de ciberseguridad campan a sus anchas. Todo lo que se puede decir sobre el tándem es que la privacidad mal implementada puede ser abusada por los piratas informáticos y ayudar a coser sus mantos maliciosos de invisibilidad.  

¿Qué pueden hacer los gobiernos para imponer diseños ciberseguros? 

Desafortunadamente, tanto la auditoría como la especificación son muy difíciles. La tecnología cambia a diario. Los requisitos detallados son planos para el próximo pirata informático. Y hay más de 6.000 mercados criminales en línea para ransomware con 75 registros robados por segundo. Justificar los costos posteriores y la logística de miles de auditores sería casi imposible para cualquier fuerza policial y fácilmente podría empeorar el problema. La única buena respuesta es mirar al inicio, regulando las formas de trabajar. Algo similar al Reglamento de seguridad general de Europa que exige las regulaciones de la UNECE para todos los tipos de vehículos nuevos después de julio de 2022 y todos los vehículos nuevos después de julio de 2024.

¿Qué actualizaciones pueden hacer los fabricantes sin el gobierno? 

Esta respuesta no podría ser más oscura. La reparación de software cuesta dinero. Las descargas cuestan dinero y no son 100% confiables, lo que podría crear una experiencia horrible para el cliente, y muchas aún no se pueden actualizar de forma remota. Incluso si se pueden actualizar de forma remota, la conectividad móvil no es total en todos los países. Entonces, ¿cómo se actualizan los vehículos que permanezcan fuera de cobertura? En el caso de las actualizaciones que no afectan directamente la seguridad, es difícil de decidir.

Independientemente de cuánto lo intente el fabricante, ¿qué probabilidades hay de que un pirata informático motivado tenga éxito en algún momento?

Extremadamente probable. Con tiempo y motivación, un cracker tendrá éxito. En 2017, la Universidad de Maryland cuantificó que cada 39 segundos se ataca un ordenador con acceso a Internet -como los que ahora equipan los coches conectados-. Al igual que los velociraptores de Jurassic Park, los ciberdelincuentes están hurgando en la valla para encontrar debilidades. Con esas circunstancias, los fabricantes de automóviles solo están tratando de superar a la competencia. El viejo chiste también se aplica aquí: “No tienes que correr más rápido que el oso. Solo tienes que dejar atrás a tu compañero de caza «.

¿Cuándo dejan de luchar los fabricantes de automóviles?

Un cese en la lucha probablemente arruinaría a la marca. Un ejecutivo del sector admitió extraoficialmente que la marca que sufra el primer incidente en toda la flota probablemente se arruinará. Y nadie quiere ser esa marca. Por lo tanto, la lucha debe durar, pero solo mientras el negocio siga siendo viable.

¿Qué es lo mínimo que pueden hacer los fabricantes de automóviles?

Como se menciona en el artículo «Mantenerse al día con la ciberseguridad de los vecinos”, varios países requieren diseños de ingeniería de «vanguardia» para la seguridad funcional. Para la ciberseguridad, la respuesta a cuáles son los mínimos exigibles siempre está cambiando y no es tan clara, especialmente para un vehículo funcional construido hace diez años. La «debida diligencia» antes de un ataque expuesto a la industria probablemente cambie después. Dicho esto, las buenas prácticas de ingeniería deben convertir en norma las auditorías constantes.

¿Cómo de probable es que me ataquen a mí?

Podría decirse que el ataque más probable es un ataque de «Denegación de servicio» -Dos- en el que los vehículos o servicios asociados se vuelven inoperantes hasta que se realiza algún pago. Estos ataques apuntan con frecuencia a proveedores más grandes, que en el ámbito automotriz pueden ser operadores de flotas, proveedores de telemática o fabricantes de automóviles. Pero los ataques DoS también afectan ocasionalmente a las personas normales, ya que son las que más fácilmente pagarán un pequeño rescate.

El fabricante de automóviles puede resistir mejor los ciberataques, ¿verdad?

Empecemos diciendo que el cibercrimen es más rentable que el comercio mundial de drogas ilegales -510 mil millones de euros al año frente a 340 mil millones-. Pero las desigualdades se acrecientan si se tiene en cuenta el tiempo y el intercambio: los fabricantes tienen una fecha de lanzamiento fija y no pueden compartir fácilmente planes secretas con competidores o gobiernos. En cambio, los piratas informáticos no tienen fechas límite y pueden compartir entre ellos las mejores prácticas para atacar.

¿Qué pasa si desaparece la marca o la empresa de ciberseguridad? 

La respuesta corta: nadie lo sabe, pero probablemente no será fácil actualizar el software de ciberseguridad después de la desaparición de la marca. Y si es su proveedor de ciberseguridad el que falla, la respuesta no es muy diferente. Sí, los fabricantes de automóviles se hacen cargo de las herramientas de moldeo por inyección o de estampado cuando los proveedores quiebran, pero hacerse cargo del software y de las operaciones de ciberseguridad es un asunto más complicado, porque seguramente los fabricantes de automóviles no tienen familiaridad, personal dedicado, etc.

¿Por qué fabricar un producto digital difícil de proteger que podría socavar toda su empresa?

Con toda probabilidad, algunos fabricantes de automóviles producirán modelos en 2022 para el mercado norteamericano que no se pueden vender en la UE debido a una ingeniería de ciberseguridad inadecuada. Si no asumen ese riesgo, perderán esas ventas frente a sus competidores. Si lo hacen, ponen en riesgo a toda la empresa. Esta es la pregunta más desafortunada de todas: no hay una buena respuesta aquí.

¿Cuántos crackeos se han producido hasta la fecha?

La triste verdad es que nadie sabe realmente el número o el riesgo. Algunos ejemplos realmente buenos de esto son los vídeos de algunos vehículos robados individualmente en tan solo treinta segundos, lo que sugiere que el iceberg invisible podría ser enorme.

¿Qué porcentaje de productos ha tenido un análisis de amenazas completo que ha sido examinado por un tercero?

Es poco probable que un fabricante de automóviles determinado sepa la respuesta para sus vehículos, y mucho menos un regulador que la sepa para el país o la región. Sí, algunas marcas exigen que los proveedores se sometan a evaluaciones de ciberseguridad antes de la entrega, pero ese requisito se ha cumplido con frecuencia de manera deficiente.

¿Durante cuánto tiempo será ciberseguro un vehículo? 

Todos los días aparecen nuevos piratas informáticos, los ordenadores y herramientas antiguas desaparecen cada semana, y pocas marcas de automóviles se jactan o publicitan sobre soluciones a prueba de balas en curso, ya que eso es prácticamente desafiar a los crackers. Los automóviles pueden ser inseguros cuando se compran o completamente seguros décadas después sin que el público pueda saberlo.

¿Cómo se repara el coche rápidamente? 

Como se mencionó anteriormente, ningún proceso de actualización es 100% confiable. Además, pocos fabricantes tienen sistemas de monitoreo confiables, que se actualizan constantemente, las 24 horas del día, los 7 días de la semana, los 365 días del año para flotas enteras con todas las combinaciones compilables para administrar operaciones, riesgos y actualizaciones. Entonces, ¿cómo de rápido se repara un automóvil en concreto? Buena pregunta.

¿Qué pasa si simplemente evito los vehículos autónomos?

Como mostraron Miller & Valasek , los piratas informáticos pueden tomar el control de los automóviles no autónomos, por lo que la fascinación o el malentendido de que la autonomía y la susceptibilidad están perfectamente vinculadas es erróneo. Sí, los aumentos en la autonomía equivaldrán a más superficies de ataque y flotas en operación -aumentando así la escalabilidad de los ataques DoS-, pero simple y llanamente: la amenaza ya está aquí.

¿Qué pasa si no eres el eslabón más débil? 

Si roban el coche de un vecino en la puerta, el seguro de todos aumentará. Si el automóvil de un vecino es pirateado en la carretera, todos los automóviles circundantes quedan atrapados en su pesadilla. Ser el vínculo más fuerte solo ayuda mucho a un individuo determinado.

Conclusión

Hablar de problemas es el camino más corto hacia su resolución. Comprender los riesgos, trabajar con expertos para resolverlos y reconocer que la Liga de la Justicia puede vencer -y lo hace- a la Legion of Doom son formas positivas de superar una situación difícil.

Y, por supuesto, nada mejor que esforzarse mucho.

*Artículo escrito por Steve Tengler y publicado originalmente en Forbes.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.