Consejos HC

Qué medidas de ciberseguridad de la NASA deberían aplicar los fabricantes de vehículos

La NASA, líder mundial en exploración espacial, no solo se destaca por sus logros científicos, sino también por sus robustas medidas de ciberseguridad. Estas estrategias garantizan la protección de datos sensibles y deberían ser aplicadas por las firmas de vehículos.

Imagen de un vehículo aparcado junto a la entrada de la NASA

Por si hay alguien que lleva dentro de una cueva los últimos ochenta años, la NASA -Administración Nacional de Aeronáutica y del Espacio- es la agencia estadounidense que se ocupa del programa espacial. Fueron los responsables del primer viaje de una persona al espacio, lanzaron el primer satélite, y por supuesto fueron los primeros en llegar a la luna.

Debido a la importancia de la organización -su personal, sus proyectos, su tecnología…-, parece completamente lógico que la ciberseguridad sea uno de los puntos clave de la NASA a la hora de protegerse frente ataques cibernéticos. Bsta con imaginar que un cracker consiguiera burlar las medidas de seguridad, y se colase en los servidores durante un lanzamiento. Las consecuencias serían fatales, podrían ser incluso mortales.

Por eso desde marzo de 2021, cada vez que firman un acuerdo uno de los requisitos siempre es establecer unas medidas de ciberprotección férreas, y de este modo mitigar posibles riesgos en los sistemas del departamento de defensa de Estados Unidos. Desde la agencia después de muchos proyectos, se dieron cuenta que es más fácil adoptar protocolos de ciberseguridad desde el principio, antes que tratar de mitigar los efectos cuando el daño ya está hecho. Además cuando firman acuerdos con otras organizaciones para diseñar, o construir conjuntamente diferentes sistemas deben certificar que cumplen con unos estándares de ciberseguridad mínimos.

Estos estándares están tipificados en el Manual de Protección de Sistemas de la NASA de 2019. Entre ellos, se pone especial atención a la protección de los datos de posicionamiento y navegación. Un punto que deberían tener en cuenta todas las marcas de vehículos. No hay que olvidar que los modelos actuales son ordenadores con ruedas.

Si un ciberdelincuente consigue hacerse con los datos que recopila o que maneja un coche, un camión, una furgoneta, un autobús… lo más probable es que sepa donde estás en todo momento. E, incluso, que con el desarrollo del coche autónomo, pueda inferir en sus instrucciones de posicionamiento y rumbo. Y esto es precisamente lo que la NASA no quiere para sus naves.

Una de las medidas indispensables de la agencia para estar a salvo es lo que conocen como “defensa en profundidad”. Esta estrategia consiste en implementar diferentes capas para proteger tanto los sistemas, como los datos, un procedimiento indispensable debido, como decimos, a la sensibilidad de los datos que maneja la agencia. Este método esta pensado para que las diferentes barreras funcionen de manera independiente, de tal manera que si una falla, otras pueden actuar como medida de protección.

Las diferentes capas están organizadas desde fuera hacia adentro, dejando los sistemas y los datos rodeados por un entramado de sistemas de seguridad. Empezando por fuera encontramos lo que se conoce como el perímetro de la red, que está compuesto por firewalls -sistemas que controlan el tráfico de entrada y salida de una red- y cuya configuración tiene como fin bloquear ataques comunes y actividades sospechosas.

Si profundizamos en el entramado, encontramos el IPS -Prevención de Intrusión sobre los Sistemas-. Su misión, en este caso, es bloquear actividades malignas en tiempo real, generando una capa activa que detiene los ataques antes de que comprometan los sistemas.

Dentro de la red encontramos lo que se conoce como endpoints o dispositivos finales -ordenadores, servidores, teléfonos-. Todos ellos integran un software actualizado en tiempo real, que identifica y elimina las amenazas de software. Ademas, también limitan el acceso a la red de los dispositivos, y se aseguran de que todos los accesos estén autorizados.

En cuanto a los datos, siempre están cifrados, tanto si se encuentran almacenados como en movimiento. De este modo se aseguran que nadie sin las correspondientes claves tiene acceso a la información. Además, también cuidan el proceso de distribución, almacenamiento y gestión de las claves para que todo se lleve a cabo de manera segura.

Cada vez es más común que los usuarios “de a pie” utilicen sistemas de autentificación multifactor. Pues bien, la NASA -como no podía ser de otra manera- también hace uso de estos sistemas. De este modo, complementa las claves más tradicionales -códigos, claves, contraseñas…- con sistemas biométricos, con el fin de generar más barreras de protección frente a los ciberataques.

En cuanto a los empleados, utilizan un sistema de gestión de roles. Lo que quieren decir con esto es que cada perfil de trabajador solo tiene acceso a aquella información que necesita para trabajar, ni más ni menos. De este modo se minimizan los riesgos de sufrir accesos no autorizados, y en caso de producirse, la compartimentación contribuye a que el peligro no se extienda.

Todas estas medidas no tendrían sentido sin una actualización constante, así que para ello cuentan con un sistema de gestión de parches. De este modo actualizan y optimizan los sistemas, minimizando las posibles vulnerabilidades.

Para poner fin al entramado, desde la agencia llevan a cabo un proceso de educación y concienciación de los trabajadores. De este modo mantienen a los empleados al tanto de las amenazas más comunes. En ocasiones realizan simulacros de phising -técnica por la que un atacante se hace pasar una entidad o persona para obtener información sensible de la víctima-.

Pero… ¿Qué podrían aplicar aplicar las marcas de vehículos? En definitiva, todo. Sin excepción cada procedimiento sería útil para proteger tanto a los propios coches como a los trabajadores y las oficinas/sedes donde desarrollan su labor. Cabe destacar que los coches actuales recopilan una cantidad ingente de datos sobre los conductores. Si las bases donde se almacena toda esa información no están debidamente protegidas, la información de los usuarios puede salir a la luz. Algo que ha sucedido multitud de veces en los últimos años.

Asimismo, como decíamos al inicio, los datos que maneja un vehículo ya son fundamentales para que puedan hacer su trabajo de forma correcta buena parte de las tecnologías que incluye un modelo, así como poder conectarse con el propietario, el taller y todo lo que le rodea. Por eso resulta indispensable aplicar medidas de seguridad desde el principio, es decir, desde la producción.

Por otra parte, proteger el sistema de producción, las comunicaciones con los proveedores y, por supuesto, la distribución de los vehículos: Todos estos aspectos resultan cruciales a la hora crear un producto ciberseguro.

Teniendo en cuenta la sucesión de ciberataques que han sufrido las marcas en los últimos años. Una de las grandes soluciones para enfrentarse a esta problemática es comprar vehículos ciberseguros. Cabe destacar, en este sentido, que una empresa vasca se convirtió, precisamente, en pionera por desarrollar un test que mide y certifica el nivel ciberseguridad de los vehículos. Hablamos de EUROCYBCAR, que sin ir más lejos, en 2022, entregó junto con AENOR la primera certificación de vehículo ciberseguro, y que fue a corresponder a a moto NUUK CargoPro,que actualmente es la que utilizan los repartidores de correos. Y tú… ¿Prefieres seguir viviendo desprotegido o te pasas a la movilidad cibersegura?

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.