A medida que avanzamos en la nueva década y la industria automotriz continúa avanzando con vehículos eléctricos, autónomos y conectados, sabemos que algunas puertas se están cerrando. Es cada vez menos probable que los automóviles necesiten las mismas piezas y mecanismos que solían utilizar a medida que la tecnología hace que el motor de combustión interna se vuelva obsoleto; antes de que nos demos cuenta, la mayoría de los vehículos en los caminos serán eléctricos y estarán realmente muy conectados. Por lo tanto, mientras algunas puertas se cierran, otras se abren: el mercado de la ciberseguridad automotriz está listo para crecer exponencialmente en los próximos 10 años y se está convirtiendo rápidamente en una industria fundamental en la nueva era automotriz.
Desde hace años, los conductores han podido acceder a datos importantes sobre sus vehículos (kilometraje, reserva de gasolina, velocidad) a través de tableros de control. Esta tecnología ha evolucionado en lo que conocemos como sistema de entretenimiento en el automóvil (ICE) o de infotenimiento integrado en el vehículo (IVI), el cual permite el entretenimiento en el vehículo, la integración de telefonía móvil (es decir, llamadas con manos libres) y la navegación. Hoy en día, se han introducido nuevas tecnologías de red para realizar funciones aún más complejas como dirección, aceleración y desaceleración, estacionamiento y controles de seguridad adaptable.
Al considerar que el objetivo de muchas de estas nuevas características es la seguridad y la comodidad del conductor, es difícil argumentar en contra de su implementación. Sin embargo, junto con las grandes mejoras en la experiencia del usuario viene un aumento en la complejidad de las redes integradas en los vehículos y el software necesario para gestionarlas. Se estima que el software de los automóviles modernos supera los 100 millones de líneas de código; esto es más de 15 veces el software necesario para volar aviones. Ésta es sólo una de las razones por las que es esencial proporcionar a la industria automotriz las soluciones de seguridad adecuadas.
Incluso los automóviles conectados existentes dependen de interfaces de comunicación inalámbrica y celular para funcionar, lo que los expone a riesgos de seguridad subyacentes. Sin embargo, ataques (Tesla Model S, FCA - Jeep y Nissan Leaf) y experimentos recientes han revelado que ni la industria automotriz ni la comunidad de seguridad están preparadas para ataques dirigidos a gran escala al próximo ecosistema de automóviles conectados.
Otro desafío para la ciberseguridad automotriz son los diversos componentes eléctricos de un automóvil (conocidos como unidades de control electrónico o ECU) que están conectados a través de una red interna. Sin una defensa sólida, las ECU de los frenos y la transmisión de un vehículo pueden ser vulnerables al control de los hackers.
Los automóviles de hoy tienen hasta 100 ECU y, junto con sus 100 millones de líneas de código, han creado oportunidades increíblemente diversas para los hackers mal intencionados. Para complicar aún más las cosas, los fabricantes automotrices obtienen ECU de muchos proveedores diferentes, lo cual significa que ningún actor tiene el control, o ni siquiera está familiarizado con todo el código fuente de un vehículo.
Afortunadamente, hasta ahora no se ha producido un gran ciberataque malicioso contra un grupo de vehículos conectados. Sin embargo, el peligro potencial se ilustró dramáticamente en 2015 cuando dos hackers de sombrero blanco tomaron el control de un Jeep Cherokee de forma remota y cortaron su transmisión en la carretera como parte de una iniciativa de investigación. Este muy publicitado incidente motivó a Chrysler a retirar 1.4 millones de vehículos.
La amenaza de los ciberataques automotrices sólo cobrará mayor importancia a medida que la sociedad haga la transición a los vehículos autónomos. No obstante, incluso antes de que los vehículos autónomos se generalicen, el hackeo automotriz ya es un peligro muy real: hoy en día, la mayoría de los vehículos vendidos a nivel mundial están conectados, lo cual significa que son vulnerables a los ciberataques.
A medida que las conexiones inalámbricas y Bluetooth integradas en el vehículo se estandaricen y más vehículos se conecten entre sí, la amenaza no hará otra cosa que aumentar. Los profesionales de la seguridad y los fabricantes de automóviles deben proporcionar a los automóviles conectados soluciones de seguridad que aborden el panorama de amenazas crecientes. Sin embargo, es más fácil decirlo que hacerlo: no sólo los componentes y las tecnologías integrados en el vehículo son increíblemente complejos, sino que se desarrollaron sin tener en cuenta la seguridad.
La adopción de mecanismos de seguridad comunes utilizados en otros dominios de aplicaciones (por ejemplo, cifrado de datos) introducirá tiempo de cálculo y desempeño de procesamiento adicionales. De manera muy similar a lo que ocurre con las computadoras y las redes inalámbricas, esta disminución en el desempeño de procesamiento puede conducir a riesgos de seguridad, ya que los componentes relacionados con el frenado o la dirección podrían dejar de responder bajo la carga de una gran actividad.
Todo esto no quiere decir que los autos conectados no tengan esperanzas de seguridad en el futuro. Por ejemplo, las soluciones de software defensivo se pueden almacenarse localmente en ECU individuales (por ejemplo, los frenos de un automóvil) para reforzar estas ECU contra ataques. Subiendo de nivel, el software puede proteger la red interna del vehículo en su conjunto examinando todas las comunicaciones de la red, marcando cualquier cambio en el comportamiento estándar de la red integrada en el vehículo y evitando que los ataques avancen en la red.
Además, existen soluciones para defender las unidades electrónicas particulares de un vehículo que están conectadas al mundo exterior, por ejemplo, las unidades de infotenimiento. Esta es una capa crítica en el sistema general de defensa de ciberseguridad porque representa la frontera entre la red interna del vehículo y el mundo exterior.
Finalmente, los servicios de seguridad en la nube pueden detectar y corregir amenazas antes de que alcancen al vehículo. También pueden enviar al vehículo actualizaciones e información por aire en tiempo real.
Además de estas capas de protección directamente relacionadas con la conectividad de un vehículo, la gestión de riesgos de la cadena de suministro es un elemento crítico del esfuerzo general de ciberseguridad. Los componentes físicos comprometidos pueden arriesgar la integridad de la arquitectura de seguridad de un automóvil, lo que hace imperativo que los OEM sólo obtengan piezas de proveedores confiables.
Dicho esto, los vehículos conectados en sí mismos no son los únicos en riesgo por las amenazas de ciberseguridad. Las operaciones de fabricantes y proveedores podrían verse fácilmente derribadas por malware, vulnerabilidades de IoT y ransomware implementados por hackers astutos y estratégicos. Si las empresas no se preparan ahora para el futuro de la ciberseguridad, podrían estar gastando exponencialmente más dinero en el futuro para rectificar brechas de seguridad prevenibles.
En relación con la vulnerabilidad excepcional de los automóviles conectados y sus fabricantes, existe una sorprendente falta de atención y esfuerzo para resolverla. Los fabricantes de automóviles y los proveedores deben unirse a las empresas de seguridad para extender la seguridad cada vez mayor de los automóviles autónomos y conectados a su software y datos, o de lo contrario correr el riesgo de ser superados por competidores más sensatos.
Por Paul Eichenberg
