La protección del coche conectado

Recientemente compré un coche nuevo con todos los sistemas de alertas. Me advierte si me salgo de mi carril. Me indica si hay un coche en el ángulo muerto. Tiene control de crucero adaptativo para reducir la velocidad si frena el coche de delante. En la marcha atrás, alerta del tráfico, incluso de los peatones y perros que se encuentren alrededor. Controla las condiciones de la carretera y automáticamente acciona la tracción a las cuatro ruedas si la carretera está mojada o las condiciones son frías o heladas. Y eso es sólo el comienzo. Cuenta con detección de colisión, frenado automático y un sistema de entretenimiento y comunicaciones totalmente conectado. Incluso hasta los limpiaparabrisas se encienden automáticamente cuando empieza a llover.

La tecnología en los vehículos de hoy en día es increíble. Un coche moderno puede tener hasta un centenar de unidades de control electrónico. Si además también incorpora sistemas de información por satélite con Bluetooth y comandos de voz, y un hotspot WiFi 4G LTE, el vehículo no sólo está increíblemente conectado sino que también es sumamente vulnerable.

No es sorprendente que los ataques a los sofisticados sistemas informáticos de los automóviles sean una seria amenaza. El año pasado, expertos en hacking demostraron cómo podían secuestrar el control de un vehículo conectado, de forma remota, mientras que estaba circulando por una autopista. El ataque se produjo a través de una vulnerabilidad que los investigadores encontraron en su sistema de información y entretenimiento conectado a Internet. A través de ese punto de entrada pudieron acceder a otros sistemas dentro del coche, incluyendo el sistema de transmisión y frenado, con resultados alarmantes. La demostración puso de relieve que nuestros vehículos se encuentran bajo una grave amenaza de ciberataque, lo cual llevó a la retirada de 1,4 millones de vehículos en los Estados Unidos para instalar una actualización de software que corrigiera esta vulnerabilidad.

La superficie del ataque se extiende. Pronto, los coches serán capaces de hacer cosas automáticamente como pagar la gasolina cuando estamos en una gasolinera, negociar servicios de compra online, revisar y leer el correo electrónico por nosotros, y sincronizar nuestro calendario para recordarnos reuniones y eventos. Cada pasajero podrá disponer de su propia conexión WiFi personal para ver películas en streaming, navegar por las redes sociales, consultar su información bancaria y comprar online.

Nuestro coche actual se encuentra a tan solo una o dos generaciones del verdadero coche sin conductor. ¿Qué sucederá entonces, cuando los coches compartan dinámicamente las condiciones de la carretera, gestionen el tráfico y respondan a los sistemas de tráfico inteligentes diseñados para organizar el tráfico de manera más eficiente en los entornos urbanos? La potencialidad de que se produzca una catástrofe por un ataque bien planificado parece elevada, y además de la pérdida de vidas y bienes, podría detener el avance tecnológico durante años.

Asegurar sistemas complejos como estos no es tarea fácil. Una vez que conectemos el coche a una red 4G o 5G, ¿cómo proteger esa conexión? ¿Cómo se incorporan las soluciones de seguridad en todo el coche para garantizar que nuestros pasajeros y sus datos están protegidos, especialmente de los ataques tipo zero-day? ¿Cuáles son las implicaciones de seguridad una vez que los fabricantes de automóviles se convierten en sus propios proveedores, proporcionando servicios de conectividad personalizados a sus automóviles?

El año pasado, dos senadores de Estados Unidos presentaron una nueva legislación ante la Administración Nacional de Seguridad y Transporte de Carreteras y la Comisión Federal de Comercio para establecer unos nuevos estándares de normas de seguridad y privacidad que deberían cumplir los fabricantes de automóviles que vendan en Estados Unidos. Estos estándares se aplicarían sobre cómo las compañías deben proteger a sus vehículos de los hackers así como sobre cómo deben salvaguardar cualquier información personal que los automóviles recopilen, como los registros de conducción.

Si bien esta legislación, conocida como la “Ley de Seguridad y Privacidad del Vehículo de 2015” (o la “Ley de Vehículos SPY de 2015”) es un buen comienzo, su enfoque plantea algunos desafíos. La tecnología está avanzando a un ritmo tal que la legislación nunca será capaz de alcanzar. Las leyes serán o demasiado específicas para hacer frente a las últimas amenazas y desafíos, o tan generales como para permitir la existencia de lagunas en términos de desarrollo de la protección adecuada.

Por lo tanto, la pregunta que nos planteamos es, ¿qué podemos hacer ante esta situación? En nuestra opinión el primer paso deberían darlo los fabricantes de automóviles aliándose con los proveedores de seguridad para diseñar vehículos más seguros. Asegurar los coches no debería ser muy diferente de asegurar una red – reforzar los puntos de acceso, controlar e inspeccionar el tráfico para detectar malware y comandos no autorizados, segmentar la red en zonas de seguridad, asegurar las comunicaciones y compartir a nivel local y global la inteligencia de las amenazas. Todo lo que lleva un coche tiene su marca como radio XM hasta altavoces Bose o interiores con firma de un diseñador. Entonces, ¿Por qué no debería llevar la marca de la compañía que se dedica a asegurar todos los sistemas de TI del propio automóvil?

El atractivo del mundo del automóvil sigue aumentando. A medida que se integra cada día más en nuestra vida digital, incluyendo lo que llamamos Transporte como Servicio, nos exponemos a más riesgos.

La polémica está servida. Esperamos que se genere pronto un debate abierto entre los consumidores y la industria de la seguridad para dar respuesta a la problemática planteada.