Predicciones de amenazas virtuales a la industria automotriz en 2018

El panorama en 2017

Los vehículos modernos ya no son sólo vehículos electromecánicos. Con cada generación, se vuelven más conectados a la red e incorporan más tecnologías que los hacen más inteligentes, más eficientes, cómodos y seguros. El mercado de vehículos conectados está creciendo con un índice compuesto de crecimiento anual de cinco años del 45%; 10 veces más rápido que el mercado automotriz en su totalidad.

En algunas regiones (como Europa y Rusia) se implementan sistemas conectados bidireccionales (eCall, ERA-GLONASS) por seguridad y razones de monitoreo; todos los fabricantes automotrices importantes ahora ofrecen servicios que permiten a los usuarios interactuar de forma remota con su vehículo por una interfaz Web o aplicación móvil.

El diagnóstico remoto de vulnerabilidades, la telemática y el entretenimiento con información mejoran de manera significativa la seguridad y el disfrute del conductor, pero también presentan nuevos desafíos para el sector automotriz, ya que convierten a los vehículos en objetivos perfectos para ciberataques. El riesgo creciente de que los sistemas de un vehículo resulten infiltrados o que se violen elementos de su seguridad, privacidad y economía, requiere que los fabricantes comprendan y apliquen seguridad informática. En los últimos años se ha visto una gran cantidad (aquí, aquí y aquí) de ejemplos que resaltan las vulnerabilidades de los vehículos conectados.

¿Qué podemos esperar en 2018?

Gartner estima que habrá aproximadamente 250 000 000 vehículos conectados en las rutas para 2020. Otros sugieren que para ese entonces, alrededor del 98% de los vehículos estarán conectados a Internet.  Las amenazas que enfrentamos ahora y las que esperamos enfrentar en el año próximo no deberían verse de manera aislada: son parte de esta continuidad. Mientras más vehículos estén conectados, y mientras mayor sean la forma en que lo hagan, mayores serán las posibilidades y oportunidades para atacar.

Las amenazas que enfrenta el sector automotriz en los próximos 12 meses incluyen:

1. Vulnerabilidades debidas a la falta de atención o experiencia de los fabricantes, agravadas por presiones competitivas. La cantidad de servicios para automóviles conectados seguirá aumentando, así como la cantidad de proveedores que los desarrollan y suministran. Este suministro en constante crecimiento (y la posibilidad de que los productos/proveedores tengan una calidad dudosa), junto con un mercado ferozmente competitivo, podría llevar a fallas en la seguridad que facilitan el acceso de los ciberatacantes.
2. Vulnerabilidades debidas a la complejidad creciente de productos y servicios. Los fabricantes que trabajan para el sector automotriz se centran cada vez más en brindar varios servicios interconectados a los clientes. Cada punto de encuentro es una posible debilidad que los atacantes no tardarán en aprovechar. Un atacante solo necesita encontrar un sector inseguro, ya sea periférico como el Bluetooth de un teléfono o un sistema de descarga de música, para tomar el control de los componentes eléctricos críticos para la seguridad, como los frenos o el motor.
3. Ningún código de programa está libre de errores en un 100%; y donde existen errores pueden existir fallos aprovechables. Los vehículos tienen más de 100 millones de líneas de código. Esto en sí mismo representa un vasto campo de ataque para los ciberdelincuentes. A medida que se instalen más elementos conectados en los vehículos, el volumen del código se disparará, aumentando así el riesgo de errores. Algunos fabricantes automotrices, incluido Tesla, han introducido programas de recompensas que incentivan a encontrar errores específicos para abordar este problema.
4. El software escrito por distintos desarrolladores, instalado por distintos proveedores y, generalmente, gestionado en distintas plataformas de administración, hace que nadie pueda ver ni controlar todo el código fuente de un vehículo. Esto podría ayudar a los atacantes a evadir la detección.
5. Las aplicaciones hacen felices a los cibercriminales. Cada vez hay más aplicaciones para teléfonos inteligentes, muchas introducidas por fabricantes de vehículos, que los propietarios pueden descargar para desbloquear de manera remota sus vehículos, verificar el estado del motor o ver su ubicación. Los investigadores ya han expuesto pruebas de concepto de cómo tales aplicaciones pueden comprometerse. No falta mucho para que aparezcan aplicaciones con Troyanos que inyecten malware directo al corazón del vehículo de una víctima desprevenida.
6. Como cada vez más empresas que saben más de hardware que de software introducen componentes conectados, existe un riesgo creciente de que se pase por alto la necesidad de tener actualizaciones constantes. Esto podría dificultar, o imposibilitar, que los problemas conocidos se parchen de manera remota. Las retiradas de vehículos cuestan tiempo y dinero y, mientras tanto, muchos conductores quedarán expuestos al peligro.
7. Los vehículos conectados generarán y procesarán cada vez más datos –sobre el vehículo, sobre viajes y hasta datos personales de los ocupantes– lo que será atractivo para los atacantes que quieran vender datos en el mercado negro o usarlos por extorsionar y chantajear a los usuarios. Los fabricantes de vehículos ya se encuentran bajo la presión de las empresas de mercadeo ávidas de obtener acceso legítimo a datos de viajes y pasajeros para enviarles publicidad en tiempo real según su ubicación.
8. Por suerte, una mayor concientización y comprensión de las amenazas de seguridad resultará en la aparición de los primeros dispositivos informáticos seguros para el diagnóstico y datos telemáticos.
9. Además, los legisladores presentarán requerimientos y recomendaciones para hacer de la seguridad cibernética una parte obligatoria de todos los vehículos conectados.
10. Por último pero no menos importante, junto con la certificación de seguridad existente surgirán nuevas organizaciones responsables de la certificación de la seguridad cibernética. Utilizarán estándares claramente definidos para evaluar los vehículos conectados en términos de su resistencia a los ataques cibernéticos.

Medida recomendada

Abordar estos riesgos incluye integrar la seguridad como estándar, por diseño, con un enfoque en las distintas partes del ecosistema del vehículo conectado. Podrían instalarse soluciones locales en componentes eléctricos individuales, como los frenos, a fin de reforzarlos contra los ataques. Luego, el software puede proteger la red interna del vehículo como un todo al examinar todas las comunicaciones de la red, indicar cualquier cambio en su comportamiento estándar dentro del vehículo y detener el avance de los ataques en la red.  Es primordial que una solución proteja todos los componentes que se conectan externamente a Internet. Los servicios de seguridad en la nube pueden detectar y corregir amenazas antes de que lleguen al vehículo. También pueden enviar inteligencia y actualizaciones de manera inalámbrica (over-the-air) al vehículo en tiempo real.  Todo esto debe estar avalado por estándares industriales rigurosos y consistentes.