Estos avances tecnológicos se han dado en todos los aspectos de la sociedad y en todos sus ámbitos. Desde los productores de materia prima, pasando por el sector industrial, con la aparición de multitud de dispositivos IoT (internet de las cosas), que han permitido la mejora de las cadenas de producción, disminuyendo costes y obteniendo un producto de mayor calidad, hasta la producción de vehículos.
Los coches en la era de Internet
Los vehículos han pasado de aquellos con un motor simple a carbón accionado por la fuerza del vapor de agua, a los que podemos encontrarnos hoy en día, repletos de sensores para favorecer la conducción y la seguridad, infinidad de conexiones electrónicas, incluso más que las mecánicas. Todo esto sumado a, lo que no podría ser de otra manera en un mundo interconectado, vehículos con su propia salida a internet, es decir, vehículos expuestos a la red, con todas las ventajas e inconvenientes que esto conlleva.
Esta constante evolución y crecimiento tecnológico precisa de continuos controles de seguridad, ya que todas las ventajas que nos ofrece un mundo interconectado se ven contrastadas por las desventajas y la exposición a la que nos somete un mundo digital, como el car hacking.
Cuando hablamos de hackear un coche, se nos vienen a la mente películas como “La jungla de cristal”, ya que es algo que todavía suena a Hollywood, que pensamos que es broma y alejado de la realidad. Sin embargo, por desgracia, este nuevo concepto de ataque a vehículos ha saltado de la gran pantalla a nuestro mundo.
Al igual que un servidor desactualizado es vulnerable a ser explotado por atacantes para robar su información, o un software obsoleto es objetivo de multitud de atacantes, un vehículo con salida a internet pude ser blanco de los delincuentes, ya que permite realizar multitud de hazañas sin necesidad siquiera de tocarlo.
Las amenazas del car hacking
Actualmente, es posible abrir las puertas de un coche clonando la frecuencia RFID que emiten las llaves contactLess, esperar que el dueño se aleje y robar el vehículo. También es factible conectarse a través del ordenador de abordo al CanBus del vehículo e inyectar datagramas con códigos de acción que hagan que el vehículo pliegue sus retrovisores, acelere o frene.
Llegados a este punto, ¿empezamos a ver la necesidad de una regulación de controles de ciberseguridad en vehículos para evitar el car hacking? La respuesta más obvia es que sí. Es por ello que en 2025 todo vehículo necesitará contar con una certificación en ciberseguridad emitida por centros de certificación especializados, para asegurarnos que los nuevos vehículos producidos son seguros, ya no solo en un entorno de conducción física, sino que también lo son en una carretera digital como es internet.
La respuesta de los expertos
Bajo estas premisas, expertos del sector de la ciberseguridad nos sentamos a debatir en torno a las diferentes necesidades que detectábamos con relación a los vehículos. Desde una posible monitorización de las acciones y conexiones, un registro de logs, no solo con los fallos del vehículo, como pueden ser las BlackBox que se pretenden implementar similares a las de los aviones, sino con las acciones y comandos recibidos por parte externa al vehículo, los diferentes grados de cifrado y complejidad de los algoritmos utilizados en la transmisión de datos; recordemos que si se trackea un vehículo, localizarnos es algo banal.
Es por ello que surgió la necesidad de desarrollar una metodología para la auditoría de vehículos, que permitiese conocer si un modelo es o no seguro a la hora de salir al mercado. Así, comenzamos a desarrollar una metodología de auditoría y controles para vehículos, lo que dio lugar a nuestra línea de servicio “Car Hacking Oesia, Driving Together”.
Desde esta nueva línea de servicio buscamos la fusión perfecta entre la seguridad de la conducción con la seguridad digital, tan necesaria y por desgracia poco presente en la actualidad.
Actualmente, nuestro equipo de expertos se encuentra desarrollando multitud de tests y controles para los diferentes puntos que la normativa europea exigirá en 2025 (norma WP.29/2020/79 de la Unión Europea) para que estos vehículos puedan estar en las calles y poder apoyar a las principales casas de producción automovilísticas en esta ardua tarea de securización de los vehículos.
Como conclusión, nos gustaría invitar a todos nuestros lectores a realizar un ejercicio de reflexión. Actualmente, estamos experimentando una evolución tecnológica y digital que podríamos calificar como vertiginosa. Al igual que las tecnologías han cambiado el mundo, los delincuentes se han adaptado y han evolucionado consiguiendo robar millones de dólares con un simple click, desde sus casas, sin exposición alguna. Así, consideramos primordial el ámbito de la ciberseguridad, con toda su complejidad, ya que la evolución y cambios experimentados suelen producirse más rápidamente que las buenas prácticas, controles y metodologías que se desarrollan.
Por todo ello nos hacemos la siguiente pregunta: “¿Es realmente rentable mantener este ritmo de crecimiento tecnológico con unas medidas de seguridad mínimas que nos garanticen nuestra seguridad y la de los nuestros? ¿Podemos estar tranquilos montándonos en un vehículo sabiendo que puede ser atacado e inutilizados sus controles?
Carlos Gómez Pintado, Líder de línea de hacking ofensivo en Grupo Oesía