A medida que los vehículos evolucionan y se interconectan cada vez más, resulta esencial generar confianza del consumidor en la ciberseguridad del sector de la automoción.
Con la asombrosa cifra de 40,7 millones de vehículos circulando por las carreteras del Reino Unido y los avances tecnológicos en constante aceleración, el papel de su organización en este panorama es más relevante que nunca.
Desde sofisticados ordenadores de a bordo hasta asistentes de estacionamiento digitales, los vehículos incorporan cada vez más tecnología inteligente. Sin embargo, esta evolución requiere medidas de ciberseguridad robustas para garantizar la seguridad de los usuarios y prevenir posibles amenazas digitales.
Ya sea para salvaguardar de posibles robos o proteger sistemas de seguridad cuya manipulación podría provocar accidentes, la importancia de la ciberseguridad en el ámbito de la automoción no puede subestimarse.
Su organización puede desempeñar un papel clave en la creación de un futuro automovilístico más seguro y fiable.
¿Qué sistemas automotrices requieren ciberseguridad?
Los vehículos modernos están altamente digitalizados, hasta el punto de que se les conoce como “ordenadores sobre ruedas”.
Entre los sistemas digitales se incluyen los siguientes:
• Sensores y cámaras de aparcamiento
• Sistemas GPS
• Radios con conexión Bluetooth
• Sistemas de apertura sin llave
• Sistemas de asistencia de mantenimiento de carril (ALKS, por sus siglas en inglés)
• Sistemas avanzados de ayuda a la conducción (ADAS, por sus siglas en inglés)
Incluso hay vehículos completamente digitalizados, como los vehículos conectados y autónomos (CAV).
Dentro de los vehículos existen redes denominadas controller area networks (CAN), que permiten la comunicación entre los distintos sistemas electrónicos.
En los últimos años, las interfaces CAN han evolucionado notablemente para integrar Bluetooth, Wi-Fi, transmisión de audio digital (DAB, por sus siglas en inglés) y modelos de software complejos que garantizan un funcionamiento fluido. Y con tanta conectividad surgen también nuevos retos y oportunidades.
Los vehículos generan sus propios datos mediante las unidades de control electrónico (ECU, por sus siglas en inglés), las redes CAN e incluso el sistema de radio.
La mayoría de estos datos se almacenan en la nube y pueden compartirse con aseguradoras para diseñar productos y tarifas. Sin embargo, parte de esta información puede ser información de identificación personal (PII, por sus siglas en inglés), como el nombre, dirección e identidad del conductor, lo que la convierte en objetivo potencial de ataques digitales.
¿Qué elementos pueden ser vulnerables a un ciberataque?
Los fabricantes de automóviles Hyundai y Kia han respondido recientemente a los trucos para el robo de coches que circulan por las redes sociales, mediante la publicación de actualizaciones de software. Otros 16 fabricantes de automóviles, entre ellos BMW y Rolls Royce, presentaban vulnerabilidades en sus sistemas y aplicaciones internas que permitían el acceso a datos personales de los propietarios.
Los ataques se centraban en los sistemas telemáticos de los vehículos. Los sistemas de apertura sin llave también son vulnerables: algunos coches pueden desbloquearse mediante el móvil del conductor o aplicaciones conectadas que pueden quedar expuestas, como cuentas de música sincronizadas (por ejemplo, Spotify).
Estos puntos débiles suponen un riesgo para los conductores en distintos niveles. En una prueba de laboratorio, los investigadores usaron los números de identificación del vehículo (VIN, por sus siglas en inglés) para comprobar qué podían vulnerar.
Los investigadores consiguieron hacer lo siguiente:
• Arrancar y parar motores
• Bloquear y desbloquear vehículos a distancia
• Recuperar ubicaciones precisas de determinados modelos
• Cambiar la titularidad de un coche
El VIN de un automóvil —visible normalmente desde el parabrisas— fue suficiente para acceder a los sistemas digitales y cuentas de usuario. Este número era todo lo que necesitaban los investigadores para manipular los sistemas digitales y acceder a las cuentas de los clientes.
¿Cómo puede prepararse su cadena de suministro?
Entonces, ¿qué puede hacer su cadena de suministro para generar confianza en el consumidor?
Abordar la ciberseguridad desde el diseño evita compromisos críticos y permite que los clientes tomen decisiones informadas a la hora de adquirir o alquilar un vehículo.
Según McKinsey, el personal del sector de automoción deberá estar preparado para adquirir nuevas competencias y metodologías de trabajo a lo largo del ciclo de desarrollo para incorporar una mentalidad de ciberseguridad.
También se están desarrollando nuevas normas y directrices para proteger tanto el hardware como el software en los vehículos.
El Grupo de Trabajo 29 de la Comisión Económica para Europa de las Naciones Unidas (UNECE, por sus siglas en inglés) ha introducido el Reglamento n.º 155 de la ONU sobre Ciberseguridad y Sistemas de Gestión de la Ciberseguridad Esta regulación obliga a cumplir con la Norma de Ciberseguridad para Vehículos de Carretera (ISO/SAE 21434), como requisito previo para la comercialización de vehículos.
La norma ISO/SAE 21434 tiene como objetivo establecer un lenguaje común en el sector de la automoción para unificar la ciberseguridad bajo una terminología compartida, lo que fomenta la transparencia y facilita su comprensión. Mediante la armonización de los requisitos de la ONU con la normalización, su cadena de suministro puede reforzar la seguridad, crear un entorno más seguro para los consumidores y promover una mayor confianza.
