Acceso sin llave y entretenimiento en los coches autónomos, en el punto de mira de ciberdelincuentes

La tecnología y la innovación dan pasos de gigante en el sector de la automoción, algo imprescindible de cara a la llegada en un futuro no muy lejano de la conducción autónoma. Pero también tiene puntos negros, sobre todo al nivel conectividad. «Todos estos avances han supuesto todo un reto para los equipos de ciberseguridad y los SOCs, que se enfrentan a ataques cada vez más sofisticados por parte de los agentes maliciosos. Y es que a pesar de que todas estas facilidades hayan supuesto un gran avance para los usuarios en términos de conducción y valor añadido al propio automóvil, lo cierto es que se ha convertido en una gran amenaza y un claro objetivo de ataque para los ciberdelincuentes«, explica Sergio Bellido, VP Product Management de Devo.

Una de esas 'trabas' son el acceso sin llave y el contenido de entretenimiento al que se accede por Internet. El primero ha sido una de las principales preocupaciones en el sector de la automoción, según Unoauto, el portal especialista en vehículo nuevo de Sumauto. Desde Aiuken detectaron este problema en uno de cada cuatro casos analizados en los dos últimos años. Con esta tecnología se puede desbloquear la puerta de un coche o arrancar el motor sin insertar físicamente una llave, permitiendo el bloqueo del vehículo, la manipulación de la conducción o el control de la conducción.

Conectarse a internet para escuchar música, hablar por el móvil o buscar una ruta es otra de las puertas de entrada que usan los ciberdelincuentes. Hay muchas formas de hacerlo: un puerto USB, bluetooth, una tarjeta SD o con el wifi. De esta forma, Unoauto alerta de una nueva derivada de la seguridad vial, la digital; que pone en riesgo último a conductor, ocupantes y otros usuarios de la vía. De ahí la importancia del concesionario para asesorar al comprador y mostrarle buenas prácticas.

Según Fréderic Cantaert, director comercial de Unoauto, «en 2015 fue noticia cómo unos hackers controlaban en remoto un Jeep. Si la tecnología en 7 años ha evolucionado tanto, ¿qué no habrá hecho también el cibercrimen? Es vital empezar a hablar de coches entregados digitalmente limpios y proporcionar buenas prácticas a los conductores en esta materia y ahí los concesionarios son fundamentales».

Para ello, Bellido pone un ejemplo: «Ya en 2015, Charlie Miller y Chris Valasek, dos investigadores estadounidenses en temas de seguridad de IOActive Labs, consiguieron acceder remotamente a un Jeep Cherokee de 2014 conducido por el periodista tecnológico Andy Greenberg, que se prestó para realizar el experimento. Miller y Valasek consiguieron acceder a la electrónica del coche desde sus ordenadores a más de 15 km de distancia, mientras el vehículo circulaba a más de 110 kilómetros por hora, pudiendo realizar acciones como poner el aire acondicionado al máximo, activar el limpiaparabrisas y llegando incluso a provocar que se parara el motor«.

En este contexto, añade que «la irrupción en el mercado de los coches con cierto nivel de autonomía en la conducción. Desde hace ya unos años, varias marcas están trabajando en el desarrollo y fabricación de coches autónomos, entendiendo la autonomía como, por ahora, un atributo parcial, ya que ningún coche permite la conducción 100% desasistida. Entre ellas, destaca la compañía de automóviles Tesla, por ser una de las que más ha apostado por el desarrollo de vehículos de conducción autónoma siendo esta característica una de las propuestas de valor más relevantes en sus automóviles. Esta nueva particularidad que permite que el automóvil pueda conducir autónomamente de manera parcial unida a las potenciales amenazas descritas anteriormente abren un área de especial preocupación en la industria debido al potencial impacto sobre la seguridad vial que podrían tener ciberataques sobre ese tipo de vehículos«.

Además, destaca que los ataques «no sólo van dirigidos al vehículo en sí y a la toma del control sobre el mismo, sino también a los servicios de back-end de las propias compañías, utilizadas para la gestión de incidencias, mantenimiento y reparación del automóvil representando un riesgo para la integridad de los datos privados del propietario y la marca«.

Por lo tanto, y ante esta situación, en el contexto de la Unión Europea, se aprobó en 2020 la normativa UNECE/R155, donde se recogen un marco de reglas relativas a la homologación de los vehículos en términos de ciberseguridad. Con este nuevo reglamento, la Unión Europea pretende ofrecer un marco de actuación a las empresas automovilísticas en el proceso de desarrollo de los vehículos conectados como la identificación y gestión de los riesgos de ciberseguridad en el diseño de vehículos, la verificación y evaluación de posibles riesgos, así como la monitorización de los ciberataques y su respuesta y análisis, entre otras cuestiones.

«Es evidente que las compañías automovilísticas se enfrentan en la actualidad a uno de los grandes retos de su historia. Para poder hacerle frente tendrán que contar con equipos de ciberseguridad y SOCs a la altura de unos ciberdelincuentes cada vez más profesionalizados y equipados con herramientas mejores, por lo que se prevé un crecimiento del 16% hasta 2023 del mercado de la ciberseguridad en el mundo automovilístico», concluye Bellido.

• Temas
• Seguridad vial