A medida que avanza la tecnología, los vehículos se vuelven cada vez más interconectados, y es esencial que los consumidores puedan confiar en su ciberseguridad.
Con la asombrosa cifra de 40,7 millones de vehículos circulando por las carreteras del Reino Unido y los rápidos avances tecnológicos, la labor de su organización en este contexto es fundamental.
Desde los sofisticados ordenadores de a bordo hasta los sistemas de aparcamiento asistido digitales, los coches incorporan tecnologías cada vez más inteligentes. Estos avances exigen que se tomen medidas de ciberseguridad más sólidas que garanticen la protección de los usuarios y neutralicen las posibles amenazas cibernéticas.
La ciberseguridad es fundamental en el sector automovilístico, tanto para proteger los vehículos contra robos como para prevenir fallos en los sistemas de seguridad que podrían provocar accidentes.
Su organización puede contribuir a un futuro más seguro y fiable en la automoción.
¿Qué sistemas automovilísticos requieren ciberseguridad?
Los vehículos modernos están altamente digitalizados, hasta el punto de que se les conoce como “ordenadores sobre ruedas”.
Entre los sistemas digitales se incluyen los siguientes:
• Sensores y cámaras de aparcamiento
• Sistemas GPS
• Radios con conexión Bluetooth
• Sistemas de apertura sin llave
• Sistema automatizado de mantenimiento de carril (ALKS, por sus siglas en inglés)
• Sistemas avanzados de asistencia a la conducción (ADAS, por sus siglas en inglés)
Incluso hay vehículos completamente digitalizados, como los vehículos conectados y autónomos (CAV).
Dentro de los vehículos existen redes denominadas red de área de controladores (CAN), que permiten la comunicación entre los distintos sistemas electrónicos.
En los últimos años, las interfaces CAN han avanzado considerablemente hasta incluir Bluetooth, Wi-Fi, transmisión de audio digital (DAB, por sus siglas en inglés) y complejos modelos de software que garantizan el buen funcionamiento de todos los sistemas. Y con tanta conectividad surgen también nuevos retos y oportunidades.
Los vehículos también generan sus propios datos a través de las unidades de control electrónico (ECU), la red CAN e incluso el sistema de radio.
La mayor parte de estos datos se almacenan en la nube y pueden enviarse a las aseguradoras para que puedan diseñar productos y tarifas. Sin embargo, algunos de esos datos son información de identificación personal (PII), como nombres, direcciones e identidades de los conductores, y podrían correr el riesgo de ser robados en un ataque informático.
¿Qué elementos pueden ser vulnerables a un ciberataque?
Los fabricantes de automóviles Hyundai y Kia han respondido recientemente a los ataques informáticos para robar coches que circulan en las redes sociales mediante actualizaciones de software. Otros dieciséis fabricantes de automóviles, entre ellos BMW y Rolls-Royce, presentaban fallos de seguridad en las aplicaciones y sistemas internos de sus vehículos que podían comprometer la seguridad de la información personal de sus propietarios.
Los ataques se centraban en los sistemas telemáticos de los vehículos. Los sistemas de apertura sin llave también son vulnerables: algunos coches pueden desbloquearse mediante el móvil del conductor o aplicaciones conectadas que pueden quedar expuestas, como cuentas de música sincronizadas (por ejemplo, Spotify).
Estos puntos débiles suponen un riesgo para los conductores en distintos niveles. En una prueba de laboratorio, los investigadores usaron los números de identificación del vehículo (VIN, por sus siglas en inglés) para comprobar qué se podía piratear.
Los investigadores consiguieron hacer lo siguiente:
• Arrancar y parar motores
• Bloquear y desbloquear vehículos a distancia
• Recuperar ubicaciones precisas de determinados modelos
• Cambiar la titularidad de un coche
El número de identificación del vehículo (VIN), los datos que utilizaron los investigadores, suele estar visible en el parabrisas. Este número era todo lo que necesitaban los investigadores para manipular los sistemas digitales y acceder a las cuentas de los clientes.
¿Cómo puede prepararse su cadena de suministro?
¿Qué puede hacer su cadena de suministro para generar confianza en el consumidor?
Al abordar la ciberseguridad en el sector, se pueden evitar incidentes y facilitar que los consumidores tomen decisiones con conocimiento de causa sobre los vehículos que compran o alquilan.
Según McKinsey, los empleados del sector automovilístico deben estar preparados para adquirir nuevas competencias y formas de trabajar a lo largo del ciclo de desarrollo, con el fin de garantizar una mentalidad orientada a la ciberseguridad de cara al futuro.
También se están desarrollando nuevas normas y directrices para proteger tanto el hardware como el software en los vehículos.
El Grupo de Trabajo 29 de la Comisión Económica para Europa de las Naciones Unidas (UNECE, por sus siglas en inglés) ha introducido el Reglamento n.º 155 de la ONU sobre Ciberseguridad y Sistemas de Gestión de la Ciberseguridad. Esta normativa exige el cumplimiento de la norma de Ciberseguridad para Vehículos de Carretera (ISO/SAE 21434), como requisito previo para la comercialización de vehículos.
La norma ISO/SAE 21434 tiene como objetivo establecer un lenguaje común en el sector de la automoción para unificar la ciberseguridad bajo una terminología compartida, lo que fomenta la transparencia y facilita su comprensión. Al armonizar los requisitos de la ONU con las normas de normalización, la seguridad de su cadena de suministro puede verse reforzada, lo que contribuye a crear un entorno más seguro para los consumidores y a fomentar una mayor confianza.
