Ciberseguridad del coche con CESVIMAP. Podcast CESVIMAP 9

Bienvenidos a un nuevo episodio en el podcast de CESVIMAP.
Somos Ángel Aparicio y Teresa Majeroni y hoy queremos tratar un tema muy sensible e importante, la ciberseguridad del coche. En el anterior episodio hablamos del coche autónomo y en esta ocasión de la ciberseguridad de los coches de hoy y de los de mañana, también del coche autónomo.
Algunas de las dudas que resolvemos de la mano de Enrique Zapico Alonso, ingeniero en CESVIMAP, son:
• ¿Puede alguien tomar el control de mi coche?
• ¿Pueden hackearlo?
• ¿Sabías que los vehículos actuales no se han diseñado para ser ciberseguros?
• A nivel de ciberseguridad un coche es como un ordenador con ruedas, se puede hackear a distancia o a través del puerto OBD.
• ¿Existe el riesgo cero en ciberseguridad del automóvil?

¡Comenzamos!

- A mi coche ¿lo pueden hackear? Es decir, que alguien tome el control de nuestro coche sin que nosotros podamos hacer nada por evitarlo... Y, si la respuesta es afirmativa, ¿sería fácil hacerlo?

- Si tu coche tiene algún control eléctrico (acelerador, dirección o frenos) y, además, dispone de algún tipo de conectividad, sí es posible tomar el control del mismo. Y en un vehículo actual, por muy nuevo que sea, sería relativamente sencillo. Y la razón es que los vehículos actuales no se diseñaron para ser ciberseguros. Como se deduce de mi respuesta, los riegos de ciberataque vienen derivados, por un lado, de la conectividad externa e interna del vehículo y, por otro lado, de la electrificación de funciones vitales de la conducción: dirección, frenos y aceleración.

Si tu coche no tiene conectividad externa ni ningún sistema electrificado, tranquilo, que no sufrirá ningún ciberataque peligroso. ¡Ojo! Una modificación del software de la centralita del motor para lograr más caballos, a partir de ahora se considerará un ciberataque.

- ¿Existe el riesgo cero? ¿Es posible eliminar cualquier intento de ataque o intrusión?

- El riesgo cero no existe. Pero ni en la ciberseguridad ni en ningún otro aspecto de la vida. Nunca vamos a poder evitar un ataque; lo que si podemos es defendernos de él y evitar males mayores. Y básicamente ese será el objetivo de la ciberseguridad: conocer todos los posibles puntos de acceso a nuestro vehículo, protegerlos y estar atentos a los ataques que podamos sufrir para implementar nuevas medidas de seguridad.

- A medida que evolucione la movilidad autónoma, los coches se irán conectado cada vez en mayor medida entre sí y las infraestructuras y redes que los rodean. Esto tendrá un impacto positivo en la seguridad vial, pero introducirá vulnerabilidades relacionadas con la seguridad.

- Cada modo de conexión de un vehículo, ya sea cableado o inalámbrico, supone una posible vulnerabilidad o puerta de entrada. A más sistemas de conexión, más vulnerabilidades habrá que proteger: radiofrecuencia, una vulnerabilidad; bluetooth, una vulnerabilidad; conexión a internet, otra vulnerabilidad; el conector OBD, otra vulnerabilidad; también el GPS puede ser un vector de ataque. O el conector USB que empleamos para poner música. Ese pendrive puede “infectarnos” con un virus nuestro vehículo.

Que sea un vehículo autónomo o, simplemente un vehículo actual con sistema ADAS, va a dar lo mismo. Ambos tipos de vehículos tiene automatizados los sistemas primordiales de dirección frenos y aceleración y ahí es donde reside el peligro real para la vida de las personas. El que alguien me abra o cierre el coche, me suba o baje las ventanillas o, incluso, me robe los datos de la agenda de teléfonos, no comprometerá la vida de nadie; pero si me frenan, giran o aceleran el coche en un momento inapropiado, puedo provocar un accidente y acabar con la vida de alguien.

- Entonces, las aplicaciones móviles, creadas para mantener conectado coche y smartphone, ¿son un peligro? ¿O una ayuda?

- Desde el punto de vista del la ciberseguridad, son una puerta más de entrada al vehículo. Además, con el agravante de que muchas de las aplicaciones que empleamos para conectar smartphone y vehículo ni están ni van a estar certificadas en ciberseguridad, ni tampoco están bajo la responsabilidad del fabricante del automóvil.

- Hablemos un poco de legislación. ¿Nos puedes contar cuál será el futuro para los fabricantes de estos “ordenadores con ruedas”?

- Los fabricantes de automóviles se enfrentan a un reto, tanto tecnológico como de tiempo de desarrollo. La legislación que va a regular la ciberseguridad de los vehículos apareció en enero de 2021 y, a partir de 7 de julio de 2022 ya no se podrán homologar nuevos tipos de vehículos si no cumplen los requisitos exigidos en el Reglamento UNECE nº 155. Son unos plazos cortísimos para lo que se suele trabajar en la regulación el sector de la automoción. Además, todo lo que implica el proceso de homologación según este reglamento es muy novedoso para este sector que está más acostumbrado a ensayos objetivos y pruebas físicas o químicas en las que se debe cumplir unos valores (pensemos en un ensayo de frenos o en la medida de emisiones contaminantes).

En el caso del Reglamento UNECE 155 lo que el fabricante debe demostrar es que ha implantado y mantiene un Sistema de Gestión de la Ciberseguridad, y que dicho sistema ha sido certificado por tercera parte. Dicho sistema de gestión debe tener procesos implantados para:

Identificar y gestionar los riesgos desde el diseño del vehículo
Asegurarse de que la evaluación de riesgos se mantenga actualizada
Monitorear los ciberataques
Evaluar si las medidas siguen siendo efectivas a la luz de nuevas amenazas
Responder a los ciberataques
Disponer de información suficiente para realizar el análisis de ataques exitosos o intentados

Además, para cada tipo de vehículo nuevo que ser pretenda homologar, el fabricante deberá demostrar en su análisis de riesgos que ha contemplado todas las posibles vulnerabilidades de ese vehículo, que ha mitigado los riesgos, que dispone de medidas para detectar y prevenir ciberataques y deberá someterse a pruebas reales de taques sobre alguna de las vulnerabilidades detectadas.

- El análisis de amenazas no se centra solo en el vehículo, sino en todo el ecosistema que rodea un vehículo conectado: los servidores del fabricante que se comunican con el vehículo, los canales de comunicación, los procedimientos de actualización, el software del vehículo...

- Ya hemos dicho, que un coche es un ordenador gigante, pero con ruedas. Es susceptible de sufrir las mismas vulnerabilidades que un ordenador, un móvil o una empresa, por eso hay que protegerlo. Se ha llegado a situaciones en las que los hackers han llegado a controlar los vehículos en movimiento, controlar los frenos, la dirección o incluso apagar el motor. Creo que ya ha quedado claro que todo no viene por el OBD...

- No. El OBD es simplemente otro vector de ataque. En lo que si se va a parecer a un ordenador o a un teléfono móvil va a ser en el tema de las actualizaciones y los parches de seguridad. La reglamentación va a obligar a los fabricantes, no sólo a detectar, sino a poner medidas correctoras en caso de detectar un ciberataque. Y nuevamente, la legislación toma partido en ese aspecto. De manera simultánea a la publicación del citado Reglamento UNECE 155, ha aparecido el Reglamento 156 que se enfoca a las actualizaciones del software, tanto en remoto, lo que se conoce como Over The Air como los talleres reparadores. Aquí lo que se pretende asegurar es que los vehículos reciben las actualizaciones de manera correcta, las que realmente les corresponden y que, en ningún caso, un problema en la instalación vaya a ocasionar un malfuncionamiento del vehículo.

En un futuro hiperconectado, ¿el ataque puede dirigirse hacia un elemento de la vía o infraestructuras (por ejemplo, los semáforos) más que hacia los vehículos, de manera que se comprometa la seguridad vial de un núcleo urbano completo?

Quique: Por supuesto que las infraestructuras pueden sufrir un ciberataque, aunque en ese caso no será responsabilidad del fabricante del vehículo ni ese aspecto cae dentro del Reglamento 155. En cambio, sí que debería preocuparnos que los servidores del fabricante no se vean atacados y, por ejemplo, lancen instrucciones masivas a toda una flota para que, por ejemplo, aceleren a tope, giren el volante a la izquierda o claven de repente los frenos


Lo dicho, ha sido un placer charlar contigo, Quique. Mil gracias. Cuánto se aprende siempre contigo. Y cuánto nos queda por recorrer en materia de seguridad. La verdad es que nos has pintado un presente y un futuro inmediato que, cuando menos, genera cierta inquietud. O al menos incertidumbre.

Pasad un buen día. Ha sido un placer charlar con Enrique de ciberseguridad, esperamos tenerte de nuevo en el podcast de CESVIMAP

Más sobre la ciberseguridad de los coches con CESVIMAP:
https://www.revistacesvimap.com/ciberseguridad-en-los-vehiculos/


• Teresa Majeroni https://www.linkedin.com/in/teresamajeroni/
• Ángel Aparicio https://www.linkedin.com/in/angel-aparicio-benayas/
• Enrique Zapico https://www.linkedin.com/in/enrique-zapico-alonso-570a8825/


Descubre más sobre CESVIMAP en:
• https://www.cesvimap.com/
• https://www.cesvirecambios.com/
• https://www.mapfre.es/particulares/
• https://www.linkedin.com/showcase/cesvimap
• https://twitter.com/CESVIMAP
• https://www.facebook.com/cesvimap
• https://www.instagram.com/cesvimap
• https://www.youtube.com/cesvimap
• https://www.revistacesvimap.com/

Últimos programas de CESVIMAP podcast:
• https://www.revistacesvimap.com/el-coche-autonomo-de-nivel-4-desarrollado/
• https://www.revistacesvimap.com/experiencia-de-movilidad-con-vmp-en-cesvimap/
• https://www.revistacesvimap.com/cesvimap-registra-su-modelo-de-utilidad-de-crash-test-para-vmp/
• https://www.revistacesvimap.com/gestion-de-danos-por-tormentas-de-granizo/
• https://www.revistacesvimap.com/cascos-un-elemento-vital/
• https://www.revistacesvimap.com/cdr-herramientas-para-peritos-y-reconstructores-de-accidentes/
• https://www.revistacesvimap.com/la-biomecanica-en-la-reconstruccion-de-accidentes/
• https://www.revistacesvimap.com/vuelcos-sin-impacto-en-vehiculos-industriales/