Expertos HC

vSOC: Así se va a gestionar la ciberseguridad en los vehículos conectados

El avance tecnológico desenfrenado de los vehículos conectados trae consigo un costo de ciberseguridad. Para poder plantarle cara a este hándicap tecnológico y para poder cumplir con las normativas que cada vez están más cerca, necesitamos implementar enfoques como el vSOC en la industria.

vSOC, dashboard, gestión, ciberseguridad, SIEMs, SOC, IoT, vehículos, vehículos conectados,

A nadie le cabe duda de que los automóviles han evolucionado enormemente en la últimas décadas. Todo comenzó con máquinas a vapor a mediados del siglo XVIII y, hoy en día, estamos hablando de vehículos conectados o comunicaciones V2V/V2X. Un avance sin precedentes que desde luego no se quedará en este punto.

Tanto es así que, en la actualidad, un automóvil tiene cientos de sensores para capturar datos: múltiples ECUs, encargadas de controlar cada función del motor y ofrecer respuestas automatizadas en función de los datos proporcionados por los sensores. Empezamos también a observar una mayor conectividad: muchos de los vehículos ya cuentan con eSIM para disponer de acceso a la localización del vehículo, para la gestión del mismo a través de una app, envío de telemetría al fabricante, etc.

El reto de la ciberseguridad en el vehículo conectado

Desafortunadamente, una evolución tan rápida tiene un costo. Más específicamente, un costo en “ciberseguridad”. Es habitual ver cómo se subestima el valor del la seguridad y, en el caso del desarrollo de software, lo vemos en la aplicación de metodologías seguras de desarrollo.

Esto supone que, muchas veces, se entregue software que contenga vulnerabilidades que puedan poner en peligro la seguridad de los vehículos. En el caso de las comunicaciones, no debemos olvidar que los vehículos disponen cada vez de más interfaces que les conectan a Internet, lo que supone aumentar su superficie de exposición y, por tanto, un aumento de la probabilidad de sufrir un ciberataque.

Como ya venimos apuntando, a medida que el sector automotriz evoluciona hacia convertir
en muchas ocasiones los vehículos en verdaderos ordenadores sobre ruedas,
las vulnerabilidades en el software que estos gestionan se han convertido en un tema cada vez más urgente para los analistas de seguridad. No son pocos los incidentes que han trascendido en cuanto a seguridad, algunos ejemplos recientes son:

  • Marzo 2022: En Rusia, se registró un ataque a cargadores de vehículos eléctricos, que dejaron de funcionar y mostraban en sus pantallas mensajes en contra de Vladimir Putin.
  • Abril 2022: En EEUU, se denunciaron casos de robos de coches a través de ataques de inyección al bus CAN. Los delincuentes lograron desbloquear puertas y poner en funcionamiento los automóviles.
  • Junio 2022: Se comprobó que, a través de ataques de Bluejacking, los atacantes pudieron vulnerar el sistema de seguridad del Tesla Model 3.
  • Julio 2022: En Corea del Sur, atacantes se conectaron a las API del VEC, pudiendo monitorizar el estado del coche y controlar el mecanismo de bloqueo a través de su aplicación.
  • Febrero 2023: Se detectó que el SW implantado en más de 37.000 vehículos de la marca más conocida de automóviles eléctricos presentaba deficiencias a nivel de funcionamiento. No identificaba correctamente las intersecciones, y no hacía ajustes de velocidad correctamente, con el riesgo que supone y que puede conllevar a gravísimos accidentes.

El congreso hardwear.io y la vulnerabilidad CVE-2023-6248

Uno de los casos más recientes presentados en el Congreso Hardwear.io por los investigadores Yashin Mehaboobe y Ramiro Pareja se centra, no en el propio vehículo, sino en el software utilizado por varias empresas para la gestión de sus flotas –presentación en YouTube-. Una vulnerabilidad de estas características hace que el riesgo aumente considerablemente, porque estamos hablando, literalmente, de miles de vehículos gestionados con este software.

La vulnerabilidad descubierta (CVE-2023-6248) hace referencia al equipamiento de Syrus 4 IoT que utiliza un servidor MQTT no seguro que permite descargar y ejecutar comandos arbitrarios, lo cual puede permitir a un atacante remoto no autenticado ejecutar código en cualquier dispositivo Syrus 4 que esté conectado a Internet.

Los investigadores en la charla mostraron más de 4.000 vehículos en tiempo real ubicados en Estados Unidos y América Latina, así como otros países. Según palabras de los investigadores:

Puedes inyectar paquetes, lo que significa que puedes llegar a tomar el
control del vehículo. Literalmente, puedes detener el vehículo en la carretera si lo deseas.

Yashin Mehaboobe y Ramiro Pareja

Cuanto menos, podemos decir que este tipo de vulnerabilidades son preocupantes. Y es que, a raíz de todos estos ataques y vulnerabilidades descubiertas, se hace cada vez más necesaria, la monitorización de flotas de vehículos, con herramientas que ayuden a detectar anomalías y con procedimientos para actuar en cada uno de los casos.

Para gestionar la seguridad de los vehículos necesitamos un vSOC

Llegados a este punto, ya podemos darnos cuenta del vasto panorama de amenazas de seguridad que afectan a los automóviles conectados. En muchos casos, heredan amenazas de un entorno TI empresarial, más todas las relacionadas con un vehículo en movimiento donde cualquier fallo puede tener un grave impacto sobre la vida de sus ocupantes.

Con la llegada de nuevas normativas, junto con la escalada de ciberataques y vulnerabilidades descubiertas alrededor del sector, muchos fabricantes están dando prioridad al establecimiento de operaciones de seguridad para la monitorización, detección y, si fuese el caso, respuesta frente a incidentes.

Aunque, en realidad, gran parte de la ciberseguridad del sector de la automoción pueda compartir muchas similitudes con la ciberseguridad IT, se debería tratar como una función totalmente separada. Por tanto, no podemos aplicar seguridad desde los centros de operaciones de seguridad (SOC) actuales y debemos evolucionar hacia los vSOC.

El concepto del vSOC

El centro de operaciones de seguridad para vehículos (vSOC) es un enfoque de seguridad, centrado en el sector automovilístico que proporciona supervisión en tiempo real y, en caso de ser necesario, una respuesta rápida a incidentes.

Establecer un vSOC es cada vez más importante para este sector, ya que por un lado, va a permitir cumplir con las exigencias de las normativas que están cada vez más cerca; y, por otro lado, va a garantizar que las flotas de vehículos sean seguras, ante el incremento de los incidentes de seguridad relacionados con el sector.

No olvidemos que el sector transporte es fundamental para la economía mundial y, como tal, también es un objetivo prioritario para los “threat actors”. Se ha demostrado en numerosas ocasiones que los vehículos son vulnerables -véase el caso de Jeep, Tesla, Nissan, etc.-.

El cumplimiento normativo es otro de los pilares fundamentales, que refuerzan la necesidad de disponer de un vSOC. La vigilancia y tecnología que aporta un vSOC es esencial para cumplir los requisitos normativos. Incluso, hay que destacar que, en algunos países, las empresas de transporte están obligadas a adoptar medidas de seguridad para protegerse de amenazas como el terrorismo… Terrorismo que, quizás, solo vislumbremos como un acto físico, pero no olvidemos que muchas acciones se llevan también desde el plano cibernético.

Imagen generada por IA

¿Por qué un vSOC debe estar separado de un SOC tradicional?

Hablar de vSOC directamente nos lleva a pensar que, simplemente, es una adaptación de un SOC tradicional. Vamos a ver algunas razones por las que no se recomienda mantener juntos SOC con vSOC -lo cual no quiere decir que no puedan compartir sinergias-.

Dominios independientes:
Los sistemas de los vehículos son fundamentalmente diferentes de los sistemas TI. Están basados en sistemas integrados, con arquitecturas HW muy diferentes y, por supuesto, con un Sistema Operativo en tiempo real para componentes de misión crítica. Esto genera una brecha de conocimiento entre los analistas del SOC tradicional frente a los analistas de seguridad de un vSOC.

De hecho, puede resultar muy tentador tratar que los analistas de IT se reconviertan en expertos de ciberseguridad del automóvil, pero no debería ser así. Es más, la recomendación debería ir por el camino de disponer de especialistas nativos en las tecnologías.

Hablamos de dominios independientes, pero eso no quiere decir que no se puedan encontrar sinergias que puedan ser aprovechadas. Es verdad que dentro del ecosistema de los vehículos conectados vamos a encontrar siempre un “backend” que dispondrá de muchos sistemas tradicionales de IT (servidores, servicios, aplicaciones, APIs, etc.). Aquí es cuando sí podemos encontrar esas sinergias, y dedicar esfuerzos de los analistas de seguridad IT a proteger esta parte de la infraestructura.

Existen muchas razones que justifiquen que un vSOC deba estar separado de un SOC tradicional, pero para no extendernos en exceso, lo dejamos para una próxima edición en la que entraremos más en detalle.

Implementación de un vSOC

Solo como muestra, usaremos el ejemplo del vehículo eléctrico de un conocido fabricante. Podremos observar que, gracias al uso de su API, es posible obtener métricas para monitorizar diferentes aspectos del vehículo:

La siguiente imagen muestra el dashboard generado en un conocido fabricante de SIEMs. Disponer de toda esta telemetría va a permitir generar casos de uso, alertas y ver tendencias que puedan indicar comportamientos anómalos que deban ser investigados. Muy útil, sobre todo para la gestión de grandes flotas de vehículos.


Driving mode // Modo de conducción
Speed // Velocidad
Odometer // Cuentakilómetros
Battery Level // Nivel de batería
Charging Status // Estado de la carga
Charging Rate // Velocidad de carga
Remaining charge time // Tiempo de carga restante
Temperature (inside & outside) // Temperatura (dentro y fuera)
HVAC settings
// Ajustes HVAC


Con todas estas variables, es posible crear dashboards complejos, gráficas y datos que nos pueden ayudar a entender cómo se comporta el vehículo y predecir ataques o comportamientos que deban ser investigados.

Es cierto que, a medida que la conectividad de los vehículos se generaliza, aparecen nuevos riesgos y nuevas vulnerabilidades. Disponer de un vSOC que vigile en formato 24/7 quizás nos pueda parecer algo exagerado hoy en día, pero ya es algo que los grandes fabricantes están empezando a tener en cuenta en sus estrategias. Y, quién sabe, igual en no mucho tiempo junto con nuestro coche se nos ofrecerá un servicio de monitorización y respuesta frente a ciberataques.

Especializado en la gestión de la seguridad, tanto desde el punto de vista tecnológico como desde el punto de vista estratégico. Con más de 15 años de experiencia, ha ayudado a las empresas en las que ha ejercido como responsable, en el análisis, gestión y mitigación de los riesgos en las TIC, aplicando siempre las mejores prácticas y controles para aportar siempre una protección adecuada a la información, servicios y sistemas que posee la organización. Desde 2017, compagina su actividad profesional con la docencia en diversos masters de ciberseguridad.; recientemente colabora de forma altruista con itSMF España en el grupo de trabajo ITSM4Security en la elaboración de buenas prácticas para la gestión de los servicios de ciberseguridad. En el 2019 también participó como mentor en la I Liga Nacional de Ciberseguridad de la Guardia Civil

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.