Holograma de un coche futurista en un taller

Pruebas de intrusión en vehículos

Los expertos en seguridad analizan específicamente el hardware, el software y las redes informáticas relacionados con el vehículo conectado

Ciberataque por encargo del cliente

Si se desea saber cómo de preparados están los propios sistemas conectados para repeler los ciberataques, hay que meterse en la piel de los potenciales atacantes, especialmente en el caso de los vehículos conectados y sus numerosas interfaces. Por ello, los expertos en seguridad de T-Systems, a petición del cliente, llevan a cabo ataques contra los componentes del vehículo conectado mediante pruebas de intrusión.

Identificación y comprobación de los puntos débiles técnicos

Infografía de un coche desde arriba

Los objetivos de un hacker al perpetrar un ataque contra un vehículo conectado son tan diversos como sus métodos. Comprometer los sistemas, robar información confidencial o mermar la disponibilidad de los servicios son solo algunos ejemplos de ello. Poniéndose en la piel de los agresores y de su forma de pensar y de llevar a cabo los ataques, los especialistas en ciberseguridad pueden identificar con mayor seguridad los puntos débiles de la tecnología, comprobarlos e inferir medidas correctoras específicas. 

Hardware, software e infraestructura

Gracias a las pruebas de intrusión, los expertos de T-Systems comprueban los componentes de hardware, las interfaces, las aplicaciones y las redes del vehículo conectado.

 Equipos de control

Pruebas exhaustivas basadas en el hardware y el software como ataques glitching, ataques a las interfaces de depuración y ataques de canal lateral, manipulación del circuito impreso, elusión de bloqueos JTAG, ataques contra funciones individuales de una ECU como actualizaciones de software OTA, activación o diagnóstico de funciones, escalación de privilegios, protección, detección de servicios, activación segura de servicios de pago y aplicaciones/servicios integrados en el vehículo (p. ej., servicios de navegación)

Apps móviles

Búsqueda de puntos débiles generales, comprobación de la conexión con la unidad central, equipos de control, back-end y servicios de terceros, así como pruebas de aplicaciones para turismos con funciones de comodidad, como la apertura de puertas y el control del aire acondicionado (iOS y Android)
 

Interfaces e infraestructura

Análisis de las conexiones por radio entre la unidad central y los equipos de control, ataques contra el bus CAN (escenarios de ataques de intermediario) y otras tecnologías de comunicación a bordo (SOME/IP, BroadR-Reach), equipos de control de la red de a bordo (fuzzing de la comunicación UDS), interfaces de medios (USB, ethernet, wifi...), funciones multimedia (p. ej., ataques a través de archivos mp3 manipulados) y otras conexiones como telefonía móvil, NFC, Bluetooth, V2X y tarjeta SD

Back-end y aplicaciones web

Pruebas automáticas y ataques manuales contra los procesos de autentificación y detección de nuevos puntos débiles en el software de los sistemas informáticos, análisis del código fuente (C, C++, Autosar, Java, iOS y Android), conceptos criptográficos e implementación en puntos débiles
 

Procedimientos de prueba automáticos y manuales

Platina de chip vista desde arriba

Las pruebas de intrusión de T-Systems siempre transcurren por dos vías. Los análisis de vulnerabilidad automatizados en su práctica totalidad detectan los puntos débiles de los ataques conocidos contra los sistemas informáticos. No obstante, si identifican lagunas de seguridad desconocidas hasta el momento y, sobre todo, específicas para el automóvil, hacen falta pruebas de intrusión manuales. Estas pruebas flexibles y sistemáticas con métodos y herramientas de ataque realistas pretenden detectar los puntos débiles antes de que puedan ser aprovechados.

¡Esperamos tu proyecto!

Estaremos encantados de proporcionarte el experto adecuado y responder a tus preguntas sobre la planificación, la implementación y el funcionamiento de tus soluciones de seguridad para el vehículo conectado. Consúltanos.

Procedimiento de la prueba de intrusión

El procedimiento se basa en modelos de procedimiento establecidos para la ejecución de pruebas de intrusión.

Preparación

  • Determinar los objetivos, el alcance y el procedimiento
  • Definir el entorno y las condiciones de prueba
  • Tener en cuenta los aspectos legales y organizativos
  • Identificar los riesgos y las medidas necesarias en caso de emergencia

Obtener información

  • Determinar y examinar la información necesaria
  • Generar un resumen de los sistemas y aplicaciones
  • Determinar los posibles puntos de ataque y fallos de seguridad conocidos

Evaluación y análisis de los riesgos

  • Análisis y evaluación de la información recopilada
  • Establecimiento de los objetos de prueba y los objetivos de los ataques
  • Elección de los métodos de prueba pertinentes
  • Creación de casos de prueba

Intentos de intrusión activos

  • Llevar a cabo intentos de ataque activos en sistemas seleccionados
  • Verificar los puntos débiles potenciales
  • Seleccionar y ejecutar otros módulos de pruebas

Análisis final

  • Evaluar los resultados
  • Detallar los riesgos y definir medidas
  • Recomendar decisiones para el uso
  • Generar documentación final

Pruebas de intrusión en vehículos con T-Systems

Hombre en primer plano mirando textos de datos en una pantalla transparente

Las pruebas de las infraestructuras críticas forman parte de la estrategia integral de seguridad informática. Como proveedor de servicios TIC, T-Systems posee los conocimientos y la independencia necesarios para analizar de manera crítica el nivel de seguridad de tus sistemas y aplicaciones. Previamente, determinamos junto contigo el alcance concreto y el tipo de pruebas en función de tus objetivos empresariales y tus necesidades de seguridad. Como resultado de las pruebas de intrusión, T-Systems elabora un informe final detallado en el que se enumeran y priorizan las lagunas de seguridad identificadas y se realizan recomendaciones concretas para su erradicación.

Resumen de las ventajas para tu empresa

Pruebas de intrusión para automóviles de la mano de un solo proveedor:

Reducción de costes

  • Prevención de daños
  • Procedimiento eficiente que reduce los costes mediante recomendación de medidas concretas 

Fiabilidad

  • Disponibilidad de expertos en todas las áreas tecnológicas
  • Visión independiente y neutral en calidad de proveedor de TIC externo 

Seguridad

  • Comprobación de los estándares y las normas
  • Chequeos intensivos adaptados con pruebas de intrusión

Innovación

  • Los resultados de las pruebas conforman la base y las directrices para las futuras medidas de seguridad
  • Preparación para amenazas actuales y novedosas
Do you visit t-systems.com outside of Spain? Visit the local website for more information and offers for your country.