Expertos HC

Cómo se pueden proteger las flotas de vehículos conectados

La tendencia es clara: el vehículo conectado conforma cada vez un porcentaje mayor del total de automóviles en circulación, pero con ello crece también la cantidad de ciberataques perpetrados hacia la seguridad del conductor.

Protección del coche conectado

En 2015 aconteció un suceso infame, cuando unos crackers se las apañaron para acceder a los sistemas de control de un Jeep que circulaba por la autopista. Los ingenieros de red, y los fabricantes de vehículos autónomos por igual, deberían haberse preocupado por su seguridad.

Para aquellos de nosotros responsables en la seguridad de grandes flotas corporativas de automóviles conectados, los intereses son incluso mayores. Muchas de las tecnologías para mitigar los ataques a vehículos crecen pobremente, lo que puede llevar a una complicada implementación a gran escala. El software de reconocimiento del vehículo, por ejemplo, es útil para pequeñas flotas, pero los requerimientos computacionales de estos sistemas hacen costosa su aplicación a firmas mayores.

¿A qué tipos de amenazas se enfrentan las corporaciones de vehículos conectados? ¿Qué desafíos presenta el proceso? ¿Cómo asegurar tu propia flota de automóviles?

Lo primero es conocer lo que está en juego

Hasta hace bien poco, los crackeos a vehículos conectados eran considerados como un «peligro teórico». La mayoría de estos dependían de personalización, del hardware de Fabricantes de Equipo Original -OEM en inglés-, así como del software, para obsequiar con conectividad. Desde aquello, se sentía que el enigma de estos sistemas les protegía de los más comunes riesgos de seguridad de información.

Si esta era la «regla general», hoy se ha quedado atrás. Los coches conectados se están convirtiendo en víctimas de su propio éxito, con muchos fabricantes buscando ofrecer conectividad en sus vehículos. Con ello contrataron sistemas de defensa en su software y en su hardware, en vez de producirlos ellos mismos. Estos sistemas, disponibles a la venta, se han convertido en una gran diana para los cibercriminales.

Los ejemplos de que no vamos por el buen camino no son lejanos. En 2016, un par de crackers en Houston -Texas- robaron más de 30 Jeeps en alrededor de seis meses, al explotar un fallo en su mecanismo de desbloqueo, relacionado con la autentificación de usuario. Las propias marcas se están convirtiendo en víctimas de crackers, tal y como lo ilustra el ataque de ransomware a Renault-Nissan, el pasado año 2020. Cinco de sus plantas paralizaron sus operaciones mientras tuvo lugar el acontecimiento.

Además, el vector de ataque más común implica la conexión entre el automóvil y su aplicación en el teléfono. Estas «apps» podrían no ser más que una forma de comunicar al usuario con los sistemas del coche, pero la mayoría todavía carece de medidas de ciberseguridad adecuadas. Las que no se actualicen podrían potencialmente permitir al cracker que controle sistemas cruciales del coche.

Los desafíos para los próximos años

Para aquellos que estemos intentando proteger las flotas de vehículos conectados al completo, hay otros dos problemas de los que encargarse: la escala y la diversidad de las amenazas.

El primer problema -el de escala- está bien ilustrado en la presentación ‘Auto’s 2020 CES’. Durante esta charla, se facilitaron unos datos tan cruciales como preocupantes. Para 2025 estarán conectados el 55% de los camiones en Norteamérica, y el 43% en Europa. En 2018 había 330 millones de vehículos conectados, y para 2025 la cifra llegará a 775 millones. Considerando ambos datos, se puede percibir que en los próximos años las flotas corporativas estarán conformadas principalmente por este tipo de automóviles.

El segundo problema habla de la diversidad. La realidad hoy es que los ciberataques han aumentado un 605% entre 2016 y 2019, y no hay un único objetivo predecible para los ciberdelincuentes. Las amenazas pueden concentrarse en robos de coche y accesos forzosos -31%-, control de sus sistemas -27%-, o las brechas en privacidad y en datos protegidos -23%-.

El tercer tipo en cuestión, donde el cracker usa el coche conectado para obtener valiosa información personal, es el que más crece. Esto es debido, particularmente, a que los ingenieros de ciberseguridad han pasado por alto la colección de datos que incluye el coche. Esto no es ninguna novedad, y muchos sistemas nunca han estado adecuadamente protegidos.

No siempre se avanza

De hecho, y en muchos sentidos, la seguridad del coche conectado se ha reducido en años recientes. Esto se debe al hecho de que muchos fabricantes se están moviendo hacia modelos de entrega continuos para su software. A pesar de las diferencias entre CI -Integración Continua- CD -Entrega Continua-, ambos permiten al fabricante llevar sus productos de software más rápido al cliente.

Esto tras asegurarse de que sus operaciones son fáciles de gestionar, sin inactividad durante los despliegues para llegar al usuario final. Sin embargo, sin un riguroso proceso DevSecOps, las CI y CD pueden implicar vulnerabilidades en los sistemas conectados del vehículo.

Proteger tu flota

Si estás ocupado protegiendo a una flota de vehículos de estos ataques, te podrías sentir bastante incapaz. Es poco probable que controles el hardware escogido por la marca para producir sus automóviles, o la frecuencia con la que instalan parches de seguridad.

Sin embargo, hay varios pasos que puedes seguir. El primero es saber sobre qué partes de tu infraestructura tienes control, así como cuáles se integran con tus automóviles conectados. Varios estudios y estadísticas sobre ciberataques indican algo a tener en cuenta. En la mayor parte de los casos, el mayor coste del ataque no es debido a los datos que se pierden, sino al daño reputacional causado por un ataque bien publicitado.

Por esta razón, asegúrate de que estás practicando una retención responsable de datos, con todos los sistemas que se conecten a tu flota. Esto debe ir desde tu aplicación de gestión nativa de la Nube, hasta el sistema que almacena los detalles de autentificación de tus empleados.

N. de la R.: En España existe una empresa tecnológica, denominada EUROCYBCAR, que ha desarrollado el primer test del mundo que mide y certifica el nivel de ciberseguridad de los vehículos, y lo hace de acuerdo a la normativa UNECE/R155. Asimismo, también disponen de un test de ciberseguridad para sistemas de control y gestión de flotas de transporte de personas/gestión de logística y apps.

El balance final

Básicamente, sólo a través de tomar esta aproximación holística serás capaz de proteger a tu flota. Los coches conectados están diseñados, después de todo, para integrarse constantemente en el resto de tu infraestructura digital. El problema es que esa misma integración es la que pueden convertirles en fuente de vulnerabilidades.

En otras palabras, la seguridad del vehículo «inteligente» implica hoy mucho más que avanzados sistemas anti robo. Implica una amplia visión del ecosistema en el que funcionan tus automóviles, y asegurarse de que cada vez que se comparten datos, estos estén protegidos.

*Artículo escrito por Sam Bocetta y publicado originalmente en Security Info Watch.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.