El servicio de carsharing Car2Go de Chicago sufrió el robo de más de 70 vehículos en pocas horas. Los vehículos se recuperaron posteriormente, y lo que en un principio se atribuyó como un ataque cibernético contra la plataforma resultó ser un caso de actividad fraudulenta.
ShareNow, es la empresa conjunta lanzada por los fabricantes de automóviles BMW y Daimler, y que incluye a Car2Go, ha mejorado el proceso de verificación de las nuevas cuentas creadas en América del Norte. Pero el incidente recalcó el creciente riesgo de hackeo que pueden sufrir los automóviles conectados, especialmente cuando la industria mira hacia un futuro cada vez más automatizado y conectado. De igual forma que un hacker puede obtener acceso a cualquier computadora y puede robar datos, tomar su control o incluso inutilizarla, un vehículo controlado por estos hackers podría ser utilizado teóricamente no solo para desbloquearlo, sino también para tomar su control con el elevado riesgo que eso supone para sus pasajeros. Hasta hoy, esta amenaza aún no ha llegado a tales extremos, pero las brechas en la seguridad de los automóviles están causando una creciente preocupación.
Upstream Security es una empresa de ciberseguridad focalizada en el automóvil y que ha cifrado en más de 260 ciberataques en todo el mundo desde 2010 y esta cifra crece año a año, según Dan Sahar, vicepresidente de la compañía. En lo que va del año, se han registrado 71 ciberataques a automóviles en comparación con los 73 sufridos en todo 2018. En el pasado, la clonación de las claves electrónicas ha sido la forma más común de desbloquear el vehículo. Pero ahora que los automóviles están más conectados, con tecnologías como WiFi y 3G, 4G, 5G, los hackers tienen múltiples formas de ingresar.
Más de una cuarta parte de los ataques son contra los servidores en la nube o contra las aplicaciones móviles de los automóviles. De acuerdo con los datos de Upstream, una cuarta parte de estos ataques han finalizado en el robo del vehículo y aproximadamente la misma proporción ha permitido el control de los sistemas de automóviles. La industria es consciente de los riesgos y ha comenzado a incorporar la seguridad cibernética desde la primera etapa del diseño.
Los hackers se sienten atraídos por la creciente cantidad de datos personales monitorizados en los sistemas electrónicos de automóviles y servidores conectados a ellos. Estos van desde contactos, correos electrónicos y números de identificación, preferencias musicales de los conductores, y sus pauta de movilidad, como los viajes que han realizado y los destinos que han visitado.
Un artículo en Wired demostró cómo dos investigadores fueron capaz de tomar el control total de un Jeep Cherokee, fabricado por Fiat Chrysler, y consiguieron desviarlo de la carretera hasta accidentarlo contra una zanja. Esto demuestra el potencial riesgo mortal que podría surgir al traspasar esta frontera en la seguridad de los vehículos conectados o autonomos. El incidente llevó a una retirada de 1,4 millones de coches.
IOActive está ayudando a los fabricantes de automóviles a evitar tales riesgos mediante la implementación de diferentes niveles de acceso a aplicaciones y procesos dentro de los sistemas electrónicos de los automóviles. Esta “separación de privilegios” evita que los piratas informáticos, que puedan acceder a algún sistema del automóvil a través de Bluetooth o WiFi, puedan moverse a otros sistemas e incluso tomen el control del automóvil.
Karamba Security es otra empresa de ciberseguridad para el automóvil, y también está trabajando con los fabricantes para evitar que se alteren las configuraciones de fábrica de los vehículos. David Barzilai, su presidente ejecutivo y cofundador, dice: “En lugar de intentar detectar comandos de software sospechosos, que es el enfoque convencional de la seguridad informática, el automóvil simplemente ignorará un comando que se salte de una función predefinida”. Los únicos cambios permitidos son los del proveedor del sistema. “Los delincuentes cibernéticos encontrarán esto muy difícil de hackear”, dice Barzilai. La industria automotriz carece de estándares obligatorios sobre seguridad cibernética, pero existen varias iniciativas gubernamentales. En 2016, SAE International (society of automotive engineers), publicóa algunas directrices para la seguridad cibernética de los automóviles para ayudar a garantizar la seguridad contra ataques y está trabajando para convertirlo en un estándar global.
Los Estados Unidos y la Unión Europea también han publicado directrices con el objetivo de influir en la forma en que se desarrollan, regulan y vigilan los automóviles autónomos. El cumplimiento de estas directrices, sin embargo, no es obligatorio. Dado que la seguridad cibernética de los vehículos sigue siendo un problema nuevo en relación con la seguridad, veremos cada vez más ejemplos de legislación, normas y estándares técnicos.
Por otra parte, los fabricantes de automóviles también deben acostumbrarse a una relación con los clientes más duradera de lo que están acostumbrados, ya que los vehículos conectados necesitarán de un soporte continuo para mantener actualizados sus sistemas electrónicos, esto es algo que nunca ha sucedido hasta el momento. Esto se debe a que, si alguien encuentra un error o una vulnerabilidad en el código o en los sistemas de electrónicos, será necesario corregirlos o protegerlos. ¿La industria aún tiene que abordar preguntas tales como qué sucede si un fabricante de vehículos deja de operar? ¿Quién asume el mantenimiento de ese código?
Escrito
Fuente: https://movilidadconectada.com
REDUCE LOS COSTES DE LA FLOTA CON NUESTRO PROGRAMA DE AUDITORÍA
La auditoria es una herramienta clave para conocer el estado general y suministrar el análisis, la evaluación, la asesoría, las recomendaciones y las acciones a realizar con el objetivo de reducir costes e incrementar la eficacia y la eficiencia de la gestión de la flota. Conoce nuestro programa de auditoría.