¿Recuerdas en 2014 cuando millones de personas se despertaron y encontraron un álbum de U2 en sus dispositivos que no habían descargado? Mucha gente se molestó, con razón. Pensaron que eran ellos quienes controlaban lo que se instalaba y descargaba en sus teléfonos, por lo que fue bastante inquietante darse cuenta de que podían ser manipulados por terceros. Vimos que sucedió lo mismo este año, pero con implicaciones más oscuras, cuando los usuarios recibieron una actualización del sistema que se descargó automáticamente en sus dispositivos Android y que contenía malware.
¿Y si eso le sucediera a tu coche? Tendemos a pensar en un automóvil como una unidad cerrada, donde el conductor tiene el control total y es el responsable de conducir. Pero ¿te imaginas que alguien piratease tu automóvil y encendiese la radio tan fuerte como para no poder pensar ni mantener la concentración? ¿O que activasen las luces de emergencia sin tu consentimiento? O, peor aún, ¿y si desactivan el software de conducción autónoma y el coche deja de poder detectar obstáculos o peatones?
A medida que los vehículos se definan cada vez más por software, el ciberdelito se convertirá en un gran problema. En este artículo exploraremos algunos de los riesgos potenciales y lo que los fabricantes pueden hacer al respecto.
Por qué la industria automotriz está en riesgo
Aunque es bien conocido el peligro asociado al cibercrimen, la industria automotriz no está tan madura como otros sectores en lo que se refiere a sus defensas. Industrias como los servicios financieros tratan a diario con datos confidenciales de sus clientes, por lo que la seguridad lleva tiempo siendo de una alta prioridad.
Sin embargo, muchos fabricantes de automóviles están aún empezando en el negocio de la tecnología. Entienden el riesgo de perder una propiedad intelectual valiosa, pero los fabricantes no han tenido que lidiar con datos confidenciales de la misma manera que otras empresas. Sin embargo, ahora que los vehículos se parecen cada vez más a plataformas de software, estos fabricantes de automóviles se están convirtiendo en «negocios de datos». Y eso significa que hay muchas más áreas donde los delincuentes podrían causar daños.
Tipos de ciberamenazas en evolución
En mi blog anterior, hablé sobre el riesgo de los algoritmos AD / ADAS desarrollados en la nube pública. Pero esa es solo una parte del problema. A medida que los fabricantes de automóviles avanzan hacia la tecnología en la nube, hay muchas más superficies de ataque potenciales.
Podrían atacar a los vehículos autónomos directamente, con ataques adversativos a los sensores visuales, que es uno de los riesgos que mencioné anteriormente. La nueva legislación en la UE, Japón y Corea del Sur hará que las cajas negras sean obligatorias en todos los automóviles durante los próximos dos años. Los piratas informáticos podrían infiltrarse en las cajas negras para manipular los datos que se están registrando.
Pero también podrían atacar la infraestructura. El backend en la nube que utiliza una flota (como sucedió en el ejemplo de Gigaset anterior) podría transmitir automáticamente malware a millones de vehículos a la vez, en lugar de solo a uno. De hecho, los investigadores del Instituto Fraunhofer IESE destacan que los riesgos debido a los ataques en el backend de TI están aumentando: el impacto podría ser peor, la superficie de ataque es más grande, el conductor no tiene poder para detener un ataque y hay más procesos críticos para la seguridad que podrían verse afectados. Este problema se aborda cada vez más en iniciativas de normalización como ISO TR 4804. El Instituto Fraunhofer de Ingeniería de Software Experimental ha estado investigando el impacto de la seguridad durante más de una década, y sus conferencias Safety Meets Security muestran que el interés en este tema está aumentando. Recientemente estableció una alianza para desarrollar arquitecturas de sistemas seguros para vehículos autónomos, que incluye a Volkswagen Group y DENSO, entre otros.
Otro objetivo que interesa a los atacantes son todos los datos propietarios relacionados con las diferentes tecnologías que se incorporan a un automóvil. Este tipo de datos es la fuente de diferenciación competitiva para los fabricantes de automóviles y puede ayudar a los atacantes a usarlos para el ransomware exigente. Según Accenture, el coste promedio de tales ataques se estima en 15.8 millones de dólares para la industria automotriz. Para la mayoría de los fabricantes de automóviles, la infraestructura de TI es algo relativamente nuevo. Pero ahora es el momento de tomarlo en serio.
Las reglas están cambiando
La ciberseguridad no se trata solo del robo de direcciones IP. Podría tener enormes implicaciones en el mundo real (y potencialmente fatales). Los fabricantes de automóviles deben tomarse la ciberseguridad tan en serio como las pruebas de choque físicas.
El Instituto Fraunhofer afirma que el coste de inversión para garantizar la ciberseguridad en los vehículos aumentará significativamente. Varios estudios han realizado estimaciones realistas para el costo total, incluido uno que predice que el “mercado global de ciberseguridad automotriz alcanzará los 10.920 millones de dólares para 2030, con un crecimiento anual del 21,7% durante 2020-2030, debido a la creciente necesidad de ciberseguridad entre los vehículos inteligentes , vehículos autónomos y transporte conectado”. Esto está en línea con estudios previos de McKinsey.
Debido a los riesgos, no es de extrañar que la regulación esté llegando para mantener seguros a los consumidores. Por ejemplo, el reglamento UNECE WP29 ya está en vigor. Este reglamento estipula:
-
- La necesidad de un Sistema de Gestión de Actualizaciones de Software (SUMS, Software Update Management System).
- La necesidad de un Sistema de Gestión de Ciberseguridad (CSMS, Cybersecurity Management System).
A partir de julio de 2022, la nueva regulación de ciberseguridad será vinculante para todos los tipos de vehículos nuevos en la Unión Europea, y a partir de julio de 2024 para todos los vehículos nuevos a nivel mundial.
Esto se convirtió en ley en 2020. Sin embargo, he hablado con tal vez de ocho a diez clientes del sector en el último mes o dos que ni siquiera sabían que existe. Las reglas entrarán en vigor dentro de un año, por lo que no hay tiempo que perder.
Qué hacer al respecto
Ciertamente, existen serias preocupaciones para los fabricantes de automóviles en torno a la ciberseguridad. Pero no es un escenario de pesadilla: todavía hay tiempo para actuar, socios con los que puede trabajar y muchas formas claras de proteger el software y los vehículos. Existen muchas opciones sólidas de seguridad que los fabricantes de automóviles pueden aprovechar, especialmente si aún no tienen expertos en seguridad en la nube en plantilla. Algunos proveedores, como Bosch y Continental, han comenzado a incluir pruebas de seguridad en sus ofertas de «control como servicio».
Dell Technologies está trabajando con socios de seguridad nuevos e innovadores que están a la vanguardia. Un ejemplo que encontré recientemente es una empresa llamada Pilot Systems, que respalda la ciberseguridad en el software AD / ADAS. En la infraestructura de TI, la cartera de almacenamiento de Dell incluye soluciones de ciberprotección y recuperación basadas en el aislamiento de datos. Estas soluciones están impulsadas por modelos basados en aprendizaje automático para detectar los ataques en tiempo real y tomar acciones para minimizar el impacto del ataque, así como recuperar datos de una bóveda cibernética aislada.
Hablaré sobre la ciberseguridad y el desarrollo de la conducción autónoma crítica para la seguridad el 27 de julio a las 18 horas, con un panel que incluye expertos del Instituto Fraunhofer y Ward’s Intelligence. Regístrese aquí para unirse a la sesión o para ver una grabación bajo demanda.