Los fabricantes de automóviles tienen que lidiar con las amenazas a la ciberseguridad de los vehículos que surgen de los rápidos avances técnicos, así como de sistemas heredados de décadas de antigüedad. Es necesario que se conozca por qué la ciberseguridad automotriz se ha vuelto fundamental.
La carga regulatoria de la ciberseguridad en la industria automotriz aumenta constantemente en todo el mundo. Es esencial contar con pruebas de ciberseguridad automatizadas que puedan abarcar sin problemas sistemas complejos de hardware y software. Hasta hace apenas una o dos décadas, la mayoría de los vehículos de carretera eran principalmente máquinas mecánicas con algunos sistemas electrónicos. Pero los vehículos modernos incorporan tantos sistemas informáticos y de software que se les ha denominado vehículos definidos por software y teléfonos inteligentes sobre ruedas.
¿Qué es la ciberseguridad automotriz?
La ciberseguridad automotriz implica la protección de todos los sistemas de tecnología de la información relacionados con los vehículos de carretera contra las ciberamenazas. Incluye la ciberseguridad de los sistemas de a bordo, así como de las interfaces externas.
Los sistemas a bordo incluyen sensores, unidades de control electrónico (ECU), chips de red, sistemas integrados y su software. Los sistemas externos incluyen vehículo a vehículo (V2V), vehículo a infraestructura (V2I), vehículo a todo (V2X) y servicios en la nube. La ciberseguridad automatizada es un componente clave de la seguridad general del vehículo junto con la seguridad física.
¿Por qué es fundamental la ciberseguridad automotriz para los vehículos modernos?
La ciberseguridad automotriz se ha vuelto crucial debido al aumento constante en número y complejidad de los componentes informáticos, de software y de conectividad de los vehículos. Los problemas de seguridad en estos componentes pueden generar problemas importantes como:
Seguridad vehicular comprometida
La mayoría de los vehículos de carretera actuales utilizan sistemas de control electrónico de velocidad (Drive-by-wire) capaces de controlar la velocidad de crucero e incluso de conducir casi de forma autónoma. Cualquier acción maliciosa contra estos sistemas puede provocar colisiones catastróficas y la muerte de ocupantes, transeúntes y otros usuarios de la vía.
Incumplimiento normativo
Debido a la importancia crucial de la seguridad vehicular, países de todo el mundo exigen diversas normas de seguridad vehicular. Incumplirlas puede acarrear importantes sanciones económicas y legales para los fabricantes de automóviles.
Reputaciones dañadas
Los vehículos de carretera pueden provocar daños a la reputación, pérdida de participación en el mercado y posiblemente incluso
¿Cuáles son las amenazas cibernéticas más comunes que enfrentan los vehículos conectados?
Algunas amenazas cibernéticas automotrices comunes incluyen:
-
Secuestro remoto: Los atacantes pueden tomar el control de funciones críticas del vehículo, como la dirección, los frenos y la aceleración, comprometiendo los sistemas internos de los vehículos de carretera a través de diversas interfaces de conectividad. Normalmente, esto implica el acceso no autorizado a las unidades de control electrónico (ECU) de los vehículos.
-
Ataques de ransomware: los ciberdelincuentes pueden implementar ransomware para bloquear los sistemas del vehículo hasta que se pague un rescate.
-
Ataques de denegación de servicio: los atacantes pueden interrumpir el funcionamiento de los sistemas vehiculares, dejándolos inoperables o provocando que funcionen mal.
-
Robo de datos: Esto incluye el acceso no autorizado a datos confidenciales almacenados en el vehículo, como información de pago y datos personales. El robo de información y las filtraciones de datos son probablemente los tipos más comunes de ciberataques automotrices.
-
Ataques a la cadena de suministro: Las actualizaciones de firmware o software maliciosas pueden introducir vulnerabilidades cuando el código se implementa en los vehículos, comprometiendo su seguridad mucho después de la fabricación.
-
Seguridad física comprometida: los ataques de hardware contra mecanismos de bloqueo como llaveros o puertos de diagnóstico a bordo (OBD II) pueden permitir el acceso físico a los vehículos y abrir posibilidades de robo, sabotaje o inyección de malware.
-
Ataques a modelos de inteligencia artificial (IA): Los sistemas avanzados de asistencia al conductor (ADAS) y los sistemas de conducción autónoma se basan en modelos de IA para la comprensión de imágenes y sensores, y el control del vehículo. Las entradas maliciosas cuidadosamente diseñadas para estos modelos pueden generar resultados anómalos que provocan colisiones y muertes.
-
Ataques a subsistemas de vehículos eléctricos (VE): Los VE presentan voltajes y corrientes peligrosamente altos en sus sistemas de gestión de baterías. Cualquier alteración en dichas ECU puede provocar incendios, explosiones y catástrofes similares.
¿Cuáles son algunas regulaciones importantes relacionadas con la
Entre las regulaciones más importantes de los últimos tiempos se encuentran las R155 y R156 mandatadas por el Foro Mundial para la Armonización de Reglamentos sobre Vehículos de la Comisión Económica de las Naciones Unidas para Europa (CEPE) (WP.29). Estas regulaciones se aplican a toda Europa, Japón, Australia y Nueva Zelanda, entre otros países. A pesar de ello, la mayoría de los fabricantes de automóviles del mundo las cumplen, lo que las convierte en regulaciones globales de facto.
Si bien no imponen obligaciones directas a los proveedores de componentes, lo hacen indirectamente a través de requisitos impuestos a los fabricantes de equipos originales (OEM) de vehículos. Estas regulaciones impulsan la adopción de normas automotrices especificadas por la Organización Internacional de Normalización (ISO) y la Sociedad de Ingenieros Automotrices (SAE). La R155 exige un sistema de gestión de ciberseguridad (CSMS) y varios requisitos técnicos de ciberseguridad específicos para cada tipo de vehículo para los fabricantes de automóviles.
Existen requisitos de ciberseguridad para cada tipo de vehículo
La ciberseguridad se integra en el ciclo de vida del desarrollo a través de los siguientes pasos:
-
Establecer la gobernanza de la ciberseguridad: establecer un sistema de gestión de la ciberseguridad y un marco de ciberseguridad.
-
Realizar TARA: identificar amenazas y riesgos durante la fase de diseño y garantizar mitigaciones adecuadas.
-
Integrar la ciberseguridad en el modelo V: Durante la fase de diseño, integrar medidas para prevenir ataques. Durante las fases de verificación y validación, confirmar dichas medidas mediante pruebas y garantizar su eficacia durante todo el ciclo de vida del producto.
La ciberseguridad automotriz es un área en rápida evolución, con requisitos específicos que varían según el tipo de vehículo y su uso. A medida que la tecnología continúa avanzando, es probable que estos requisitos se vuelvan más estrictos y detallados.
