Los automóviles son una parte esencial en nuestra vida diaria, además de ser fundamentales para transportar millones de personas diariamente.
No es una sorpresa que el transporte parcial o totalmente autónomo y el potencial de los automóviles sin conductor se hayan vuelto temas de moda. De acuerdo con Gartner, los coches autónomos representarán aproximadamente el 25% de los vehículos de pasajeros en uso dentro de mercados maduros para el 2030.
Para los hackers, los automóviles sin conductor representan otra gran oportunidad para llevar a cabo ciberataques, por lo que garantizar la seguridad de los conductores contra ciberamenazas se ha vuelto un enfoque primordial de desarrollo, así como un gran reto para las industrias automotrices y de seguridad.
Los automóviles sin conductor dependen de sensores, radares, mapeo GPS y una gran variedad de inteligencia artificial que les permite auto conducirse.
El problema empieza con los hackers, que pueden acceder al vehículo de forma remota y comprometer alguno de los sistemas a bordo, lo que daría como resultado un amplio rango de amenazas, que van desde el robo de información personal y comercial,hasta el riesgo físico de las personas y su propiedad.
Posibles ataques
Escalada de privilegios e interdependencias del sistema. Los criminales buscarán las vulnerabilidades en los servicios con menor seguridad –como los sistemas de entretenimiento– e intentarán ‘saltar’ a través de las redes internas del auto hacia los sistemas más sensibles. Por ejemplo, generalmente se permite una cantidad limitada de comunicación entre el sistema de administración del motor y el de entretenimiento para mostrar alertas que, potencialmente, pueden ser aprovechadas.
Ransomware. Los ciberdelincuentes podrían inmovilizar el automóvil e informar a los conductores, a través de la pantalla interna del coche, que necesitan pagar un rescate para restaurar las operaciones normales del vehículo. El propietario puede encontrarse lejos de su casa (el rescate puede estar programado para ejecutarse solamente cuando el automóvil se encuentre a una distancia predeterminada de su casa), por lo que el conductor requeriría los servicios de un especialista para reiniciar los componentes afectados. Se estima que la cantidad de este tipo de rescates son significativamente mayores a las que se piden cuando ‘secuestran’ el sistema de una computadora, pero probablemente sean menores a lo que costaría reparar el auto, razón por la que el dueño prefiere pagar el rescate.
4 factores para asegurar los vehículos autónomos
1. Comunicaciones internas del vehículo. Los automóviles inteligentes cuentan con diversos y distintivos sistemas a bordo, como sistemas de control, de entretenimiento e incluso sistemas de terceros cargados a petición del dueño. Hasta cierto punto, estos sistemas necesitarán participar en la interacción para dar vida a nuevos servicios, mismos que podrían ser administrados y monitoreados de cerca por los firewalls y Sistemas de Prevención de Intrusiones (IPS, por sus siglas en inglés), los cuales pueden distinguir perfectamente, dentro del área de red del automóvil, entre comunicaciones legítimas y normales de las actividades ilícitas.
2. Comunicaciones externas. Muchos, si no es que todos los sistemas a bordo, tendrán razones para comunicarse con los servicios basados en Internet para buscar funciones como actualizaciones de software y acceso a Internet. Probablemente, las comunicaciones se iniciarán ya sea desde dentro o hacia el vehículo provenientes del fabricante o de Internet. Lo anterior significa también que el tráfico de y hacia el automóvil necesitará ser administrado e inspeccionado contra amenazas y comunicaciones ilícitas, defectuosas o no autorizadas, utilizando firewalls y capacidades similares al IPS.
3. La infraestructura de conectividad usada por el vehículo probablemente estará basada en las redes de celulares como los servicios de datos 3G o 4G, pero con un pequeño giro. Si bien estos servicios de telefonía celular ya proveen conectividad a billones de smartphones y otros dispositivos en todo el mundo, también sufren de seguridad inconsistente. Los automóviles con manejo asistido o incluso sin conductor aumentarán significativamente las apuestas. Un ataque dirigido sobre o a través de la red celular podría disparar una falla crítica a la seguridad en –literalmente– miles de vehículos en movimiento al mismo tiempo. Asegurar las redes celulares a través del abastecimiento de conectividad fundamental al vehículo, requerirá de una exhaustiva revisión para prevenir catástrofes potenciales.
4. Identidad de alta seguridad y sistemas de control de acceso adecuados y diseñados para las máquinas, no para la gente, necesitarán ser incorporadas. Éstos permitirán que los automóviles puedan autenticar las conexiones entrantes para los sistemas esenciales y para los servicios basados en el Internet, con el objetivo de identificar positivamente los vehículos y la información que registran en la nube, así como las transacciones que podrían realizar a nombre de los propietarios.
Por Eduardo Zamora, director general de Fortinet México