Transformation in die Cloud - welche Cloud darf es sein?
Perspective Security

Seguridad del automóvil: ninguna oportunidad para los piratas informáticos de los automóviles.

18-nov-2016

Los vehículos conectados son uno de los objetivos de los piratas informáticos. Para garantizar la seguridad del vehículo, los productores de automóviles necesitan seguridad informática en sus vehículos, comunicaciones móviles y sistemas de back-end.
Car security: threat by hackers increases
Un tiburón llevó el tema de la “seguridad informática para la seguridad de los automóviles” a los medios de comunicación por primera vez. En 2010, científicos de San Diego y Washington utilizaron un programa informático llamado CarShark para mostrar que los vehículos pueden ser pirateados. Desde un vehículo cercano, hicieron que dos limusinas en movimiento frenaran. Hoy en día, la seguridad informática de los vehículos es más importante que nunca: con más de 100 millones de líneas de código de programación –siete veces más que un Boeing 787– los vehículos se han convertido en ordenadores móviles. Y cada vez hay más vehículos conectados, lo que significa que los piratas informáticos también pueden acceder a ellos a distancia. Por lo tanto, la seguridad informática es la base de la seguridad de los automóviles.

Seguridad desde el principio

Hasta el momento, las experiencias de seguridad de la industria del automóvil han sido limitadas. Sin embargo, los productores –por ejemplo, los fabricantes de equipamiento original (OEM, por su nombre en inglés)– y proveedores se pueden orientar en las tecnologías y experiencias ganadas en el ámbito de las comunicaciones móviles y tecnología de la comunicación. Una cosa es cierta: los fabricantes y proveedores pueden aprender los unos de los otros si intercambian información sobre las brechas en la seguridad informática y el funcionamiento de los sistemas de seguridad. Para hacer eso, tendrían que librarse primero de la costumbre que tienen de proteger tan ávidamente su know-how. Otro principio importante es la “Seguridad e intimidad a través del diseño” (más sobre este tema en una de nuestras próximas contribuciones): Los fabricantes de automóviles ya tienen que ir integrando la seguridad informática y la protección de datos en el diseño de los nuevos modelos de automóviles, componentes y software para garantizar la seguridad del automóvil.
Deberían considerar todos los aspectos de los vehículos que estén en manos de los fabricantes de equipamiento original: además del ordenador de a bordo del vehículo, los productores de vehículos también deberían prestar atención a las comunicaciones móviles y al sistema de back-end del vehículo. “Cuando los responsables de las industrias piensan en seguridad de la información, normalmente se centran en los sistemas del automóvil como punto flaco”, escribe la empresa consultora PwC en su Connected Car Study de 2015. “Pero la amenaza va mucho más allá de la interfaz de la consola.”

1. Autodefensa para el vehículo

La infraestructura informática y de telecomunicaciones en el vehículo consiste en sistemas de bus como el driver CAN bus y el MOST infotainment bus, a los que están conectadas más de 100 unidades de control electrónico (ECU, por su nombre en inglés). El protocolo CAN bus, de 80 años de edad, no suministra ninguna pauta de seguridad. Las unidades de control no tienen que autenticarse cuando intercambian datos, ni comprueban la verosimilitud de los mensajes entrantes. Ambas cosas serán necesarias en el futuro. Por el contrario, sistemas de seguridad activa como los airbags se podrán poner en marcha a distancia, incluso si el vehículo va a toda velocidad por la autopista. La pasarela entre los buses es adecuada para una solución de detección de intrusión que haga un seguimiento de todas las comunicaciones, alertas por anomalía y, por lo tanto, aumente la seguridad del automóvil.

2. Firewall para las tarjetas SIM

Con una tarjeta SIM, el vehículo se convierte en una terminal móvil y con ello también en un objetivo potencial de los “fraudes”. Los delincuentes podrían utilizar la tarjeta SIM de manera ilegal y llamar, por ejemplo, a números hotline de alto coste a expensas del propietario. Los fabricantes de automóviles pueden evitar esto creando conexiones móviles seguras a través de las redes virtuales privadas (VPN) o puntos de acceso a la red privada (APN).
Además, todos los componentes de comunicación como las unidades de control, los sistemas de back-end y las luces de tráfico deberían estar identificados por certificados proporcionados por una estructura de clave pública. Para detectar ataques que todavía tienen lugar, hay sistemas de detección del fraude. Estos supervisan las comunicaciones móviles utilizando reglas definidas, como los límites en los volúmenes de datos. Los datos que un OEM puede recopilar de manera legal para este fin dependen de si está registrado o no como proveedor de telecomunicaciones.

3. Barreras en el back-end

El back-end del vehículo conectado forma la base de datos para aplicaciones y servicios en el vehículo, y también almacena su identidad digital, como el número de identificación del vehículo (VIN, por su nombre en inglés) y las identificaciones de todos los componentes. Por lo tanto, juega un papel importante en la seguridad informática y en la seguridad del automóvil. Por ejemplo, el sistema de back-end suministra actualizaciones a todos los vehículos.
Sin embargo, la interconexión automovilística también se abre a nuevas oportunidades de ataque en el back-end a través de las interfaces al vehículo y los proveedores de aplicaciones y servicios conectados. Un pirata informático podría, por ejemplo, infiltrar un software malicioso en el back-end dentro de un mensaje de un vehículo simulado. Por lo tanto es importante separar virtualmente las capacidades computacionales y de almacenamiento de servicios diferentes en el back-end. Así, un pirata informático no podrá comprometer todos los servicios a la vez.

Consumidores ansiosos

Ha llegado el momento de los sistemas de seguridad exhaustivos en los vehículos, ya que los conductores están inquietos. Según la asociación "Deutschland sicher im Netz" (Una Alemania segura en la Red), la mitad de los usuarios de Internet alemanes tiene miedo que terceras partes recopilen datos a través de vehículos conectados no autorizados. Según KPMG, un 82% de los consumidores en los EE.UU. tiene miedo, o incluso nunca compra, si un fabricante de automóviles ha sido víctima del pirateo informático, ya que les preocupa la seguridad de los automóviles.