70.000 vulnerabilidades del coche conectado

«Los vehículos son hoy grandes ordenadores con ruedas, y deben protegerse como se protegen otros dispositivos, como los ordenadores o los móviles». El 22 de enero entró en vigor la nueva normativa que la Unión Europea que obliga a los vehículos a que cuenten con un certificado que garantice que son ciberseguros druante todo su ciclo de vida. Un documento en el que los fabricantes tendrán que demostrar que sus modelos están protegidos frente a 70 vulnerabilidades. «Un listado de riesgos a evitar que incluye posibles ciberataques durante el desarrollo, producción y posproducción del vehículo, por lo que aquellos modelos que logren el certificado estarán protegidos a lo largo de todo su ciclo de vida».

Así lo explica Azucena Hernández, directora general de Eurocybcar, una empresa impulsada a raíz de la mentorización del programa Cibersecurity Ventures del Instituto Nacional de Ciberseguridad (Incibe). Que señala que la norma es de obligada aplicación en todos los países de la UE. «Afecta a cochese, furgonetas, autocaravanas, camiones y autobuses. También a los vehículos ligeros de cuatro ruedas, en el caso de que estén equipados con funciones de conducción automatizada a partir del nivel 3; así como a los remolques si están dotados con al menos una unidad de control electrónico».

Eurocybcar ha desarrollado un test que tiene como objetivo por un lado tratar de comprobar que el coche protege de forma correcta la privacidad de las personas que viajan en él, «pero sobre todo pretende conocer si protege sus vidas», señala Hernández. El test detecta «si resulta sencillo que alguien pueda acceder, de forma física o remota, a los sistemas de un automóvil y alterar su funcionamiento».

Desde la empresa se señala que esta falta de seguridad en la tecnología «puede resultar trágica. Y no hay que pensar sólo en un ciberataque premeditado, puede producirse por un mal uso del propio usuario. Puede producirse algo tan sencillo, señala, como descargar música de una web de internet en un pendrive, conectarlo después al puerto USB del coche y que al hacerlo estemos introduciendo en realidad, y de forma inadvertida, un virus o un malware que bloquee el sistema operativo del vehículo, provocando que el coche se pare mientras circula, por ejemplo, con el riesgo que eso supone».

La nueva normativa debe ser cumplida por todos los vehículos que se homologuen a partir del mes de julio de 2022, una obligación que se extenderá a todos los vehículos nuevos que se vendan en el territorio de la Unión a partir del 1 de julio de 2024. «Para lograr el certificado de ciberseguridad los fabricantes deben demostrar que sus modelos están protegidos frrente a 70 vulnerabilidades. Eurocybcar es la única empresa que, en la actualidad, emite el certificado de Vehículo Ciberseguro, según la normativa ONU/UNECE WP.29».

Debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo analizado cumple esos requisitos. «En el caso de que algún fabricante ponga a la venta e la UE un vehículo que no cumpla con la normativa citada, o se demuestre que engañaron a la entidad autorizada para obtener el certificado de manera irregular, se enfrentaría a sanciones de h asta 30.000 euros por vehículo. Y se podría retirar o suspender la homologación de los modelos afectados, lo cual impediría que pudieran venderse».

La normativa, explica Hernández, «no detalla qué medidas deben tomar los fabricantes para hacer frente a esas 70 amenazas. Tampoco indica qué tipo de pruebas se deben realizar para saber si un vehículo puede obtener el certificado de apto de ciberseguridad».

Cada vez más complejos

Desde Eurocybcar insisten en que «los vehículos se han vuelto cada vez más complejos desde el punto de vista tecnológico». De hecho, según explica en un informe realizado por la empresa con la colaboración de expertos en la materia sobre la nueva normativa europea, «estimamos que el software que tiene de promedio un vehículo se compone de unos cien millones de líneas de código. Esto significa que los sistemas con los que está equipado un automóvil actual son más complejos, por ejemplo, que los de un caja de combate F-35, que tiene alrededor de 24 millones de líneas de código. Otro ejemplo: un Windows Vista tiene 50 millones de líneas de código, incluso los software de Facebook tienen 62 millones».

El caso es que la informatización de los vehículos se traduce en tecnologías que les conectan con otros dispositivos, y ahí existe un vector de riesgo. «Por ejemplo, se conectan con un teléfono inteligente a través de bluetooth, con un cable USB, una aplicación móvil, o con internet en general a través de un punto de wifi que incorpora el vehículo».

Este concepto de ‘coche conectado implica que lo vehículos disponen de aplicaciones, servicios o tecnologías que avanzan en la utilidad de interactuar con el entorno, pero «también les somete a la creciente complejidad de una tecnología que les pone en el punto de mira de los ciberataques».

Responsabilidades

La responsabilidad de cumplir con la nueva normativa europea que pretende avanzar en la garantía de la ciberseguridad de los vehículos queda en manos de los fabricantes. Que son los que deberán comprobar que todos los proveedores, en su cadena de recursos, identifica y gestiona los riesgos en ciberseguridad del componente con el que trabajan».

Así, «los proveedores no están obligados a seguir los requisitos de las exigentes normas de ciberseguridad, pero no hacerlo hará que sus productos sean menos competitivos y rentables». Además, los fabricantes tendrán algunos límites regulatorios y los requisitos mínimos para los fabricantes dada una lista de los riesgos que deben evitar en sus modelos. Pero, por el momento, deben de ser ellos quienes determinen cómo evitarlos. Sin perder de vista que el certificado debe de ser emitido por una entidad externa.

Y es en este nicho de negocio en el que Eurocybcar se ha hecho un hueco, como entidad habilitada para facilitar los certificados exigidos por la normativa de la UE. Un proyecto que contó para su crecimiento y desarrollo con el asesoramiento y las herramientas que pone en marcha la aceleradora de proyectos empresariales del Incibe.

La normativa que entra en vigor pretende garantizar la seguridad de los coches en un entorno de creciente conectividad. DL

Para cumplir con la normativa, los fabricantes tendrán que crear para sus vehículos un sistema de gestión de ciberseguridad (CSMS por sus siglas en inglés). «Se trata de un sistema de procesos que, en conjunto, debe garantizar la ciberseguridad del vehículo frente a los ciberataques. El CSMS garantiza que el fabricante gestiona la seguridad de sus modelos a lo largo de todo su ciclo de vida, desde el desarrollo y la producción a la postproducción.

Las 70 amenazas de ciberseguridad específicas que la ONU detalla en su reglamento se dividen en siete apartados, que recogen las principales vulnerabilidades. El primer de ellos, según Eurocybcar, se refiere a las amenazas relacionadas con los servicios back-end. «Son los hacen que todo el sistema informático de los vehículos o las redes informáticas internas del fabricante funcionen. Se deberán evitar, entre otras amenazas, pérdidas de información en la nube, filtraciones de información por compartir datos de forma involuntaria y que un trabajador haga un uso ilícito de los datos a los que tiene acceso», señala el informe realizado por la compañía.

Por otra parte están las amenazas relacionadas con los canales de comunicación que utiliza el vehículo para conectarse con su entorno. «Por ejemplo, con otros vehículos o con la infraestructura». Según la empresa, «se deberán evitar, entre otras amenazas, que se pueda suplantar la identidad de otros vehículos, inyectar malware —programas que dañan los sistemas informáticos— por los canales de comunicación y manipular o eliminar los datos y códigos del software del vehículo».

Conectividad externa

Otro apartado de amenazas se refiere a la conectividad externa de los vehículos. «En este punto, se deben evitar entre otras cuestiones la manipulación de funciones remotas, como la llave, el inmovilizador y la batería; manipular las conexiones telemáticas del vehículo, como la medición de la temperatura de la mercancía en vehículos industriales o desbloquear las puertas de forma remota; y causar interferencias en los sistemas inalámbricos de corto alcance o sensores».

Por lo que se refiere a las amenazas que afectan a los códigos del vehículo, lo aconsejable es evitar por ejemplo que «se pueda acceder sin deber a la información privada del propietario —quién es, su cuenta bancaria, ubicación, identificación electrónica del vehículo— y falsificar la identidad o manipular datos del vehículo —kilometraje, velocidad de conducción, enviar mensajes falsos e indicaciones al conductor, etc.—».

Otro campo amenazado por los ciberdelincuentes, o que pueden presentar fallos de seguridad, se refiere a los procedimientos de actualización de los vehículos. «Se deberá de evitar cualquier tipo de amenaza que afecte a los procesos de actualización de los sistemas informáticos de los vehículos, ya sea que se lleven a cabo de forma inalámbrica -Over The Air- o mediante una descarga».

No intencionadas

El informe realizado por la compañía analiza también las amenazas relacionadas con las acciones humanas no intencionadas. «Se deberán de evitar, entre otras amenazas, que alguien con acceso al vehículo —como el propietario o un mecánico— pueda introducirle un virus de forma involuntaria si lo engaña un ciberdelincuente».

Otro tipo de peligros son los que se refieren a las amenazas que «podrían explotarse si no se protegen o refuerzan lo suficiente». En este sentido, los expertos recomiendan evitar «entre

otras amenazas, fallos de software, que la información del primer propietario del vehículo pase al segundo dueño —en caso de venderse en el mercado de ocasión—, o que se reemplacen elementos del vehículo que cumplan con la norma por otros que la incumplan».

Las responsabilidades

De momento, la norma deja «libertad a los fabricantes a la hora de buscar soluciones para cumplir con los 70 requisitos que refleja su reglamento, porque no detalla cómo evitar las amenazas». Lo que permite que «los fabricantes participen activamente con las empresas especializadas en soluciones de securización».

La norma tampoco indica qué tipo de pruebas se deben realizar para saber si un vehículo puede obtener el certificado ‘Apto’ de ciberseguridad». El test que realiza Eurocybcar evalúa si el vehículo cumple con estos 70 requisitos».

Por ejemplo, el equipo de expertos analiza «si un ciberdelincuente podría manipular —a través del puerto OBD del vehículo— el ABS, sus frenos o su dirección; o si a través del puerto USB se puede introducir un virus que provoque la paralización de los sistemas del vehículo y ponga en riesgo la vida de los pasajeros».

También se comprueban los accesos remotos. «Se analizan sistemas inalámbricos como la conexión Bluetooth —que permite enlazar el dispositivo móvil al vehículo para compartir sus datos—, WiFi —que proporciona conexión a internet a los dispositivos móviles de los pasajeros—, el eCall —llamada automática a Emergencias en caso de accidente— o el sistema keyless —que, por ejemplo, permite abrir o cerrar un coche sin necesidad de utilizar la llave— para comprobar su nivel de ciberseguridad y valorar si la seguridad del vehículo o los datos privados de los usuarios se está poniendo en riesgo».

Por último, se realizan pruebas de aplicaciones. «se evalúan las vulnerabilidades de las aplicaciones que ya están integradas en el vehículo, y también las apps oficiales de la marca que el usuario se descarga en su móvil. Algunas de estas aplicaciones permiten al usuario controlar desde su smartphone diversos parámetros del vehículo —como encender la calefacción antes de entrar— o acceder a información almacenada en el vehículo —como el kilometraje o las rutas seguidas habitualmente por el conductor—. Esto, obviamente, es un peligro si un ciberdelincuente consigue vulnerar dichas aplicaciones, ya que podría acceder a sistemas del vehículo y llegar incluso a provocar un accidente».