Los 7 riesgos de usar un vehículo autonómo

Las principales ciberamenazas de los automóviles conectados y sin conductor. Qué estrategias recomiendan los especialistas para prevenir estos ataques

Los vehículos autónomos van ganando terreno. La consultora Gartner estima que, para 2030, los automóviles sin conductor representarán el 25% de la plaza total, en el caso de los países más adelantados a nivel tecnológico.

El futuro está muy cerca. Casi a la vuelta de la esquina. Y así como estos vehículos traen comodidades dignas de ciencia ficción también conllevan nuevos peligros. Riesgos "invisibles" pero con consecuencias tangibles: los ciberdelitos que afectan la seguridad de los usuarios.

Proteger estos automóviles contra las ciberamenazas es uno de los grandes desafíos que deben enfrentar, hoy en día, las automotrices y las empresas de ciberseguridad.

Autos equipados con GPS, sensores interconectados, y software de última generación. Son todas posibles puertas de entradas para los cibercriminales.

"El mayor riesgo que tienen los autos autónomos es la conectividad. Los nuevos sistemas permiten administrar la dirección, aceleración y frenado. Éstas son las características más críticas; por lo tanto, en caso de tomar control masivamente de vehículos, se podría generar un ataque coordinado, un ataque terrorista, utilizando vehículos", analizó Sebastián Stranieri CEO de VU, una empresa dedicada al desarrollo de software de Ciberseguridad.

Además de la posibilidad de emplear estos autos para un ataque colectivo, existen otros riesgos, de distinta magnitud, que también podrían comprometer la seguridad de los usuarios.

La compañía LoJack analizó algunos de los principales riesgos que conlleva la última tecnología aplicada a los automóviles.

1. Ransomware. Este tipo de virus que "toma de rehén" los archivos y los encripta para luego pedir rescate por ellos podría afectar a los vehículos autónomos. ¿De qué modo? desactivando los frenos y el motor para luego exigir dinero a cambio de poder reactivarlos.

"Con el ransomware tradicional, como Locky y Cryptolocker, el código malicioso cifra los documentos del equipo y exige el pago de un rescate para desbloquearlos. En cambio, el objetivo del jackware es mantener bloqueado un automóvil u otro dispositivo hasta que se pague el rescate", explicaron a Infobae, desde la empresa de ciberseguridad ESET.

2. Dominar el vehículo a la distancia. Una de las principales vulnerabilidades del sistema es que se conectan a la nube a través de redes inalámbricas. En caso de que se intercepte la conexión, el hacker podría tomar el control total del automóvil y manejarlo de forma remota.

3. Clonar un auto. Se instala un número de identificación falso en un vehículo robado para que pase desapercibido y así poder venderlo, por ejemplo, sin inconvenientes. Es una técnica para enmascarar ilícitos.

4. Robo de datos personales. Tal como puede ocurrir cuando se ataca el software de una computadora o smartphone, al ingresar al ecosistema del automóvil se podría acceder a datos personales del usuario como su tarjeta de crédito, cuentas de mail o redes sociales.

5. Dispositivos externos sospechosos. Las memorias USB que se utilizan para acceder al OBD (Sistema de navegación a bordo) para revisar los hábitos de manejo del vehículo también implican un riesgo. La aseguradora estadounidense Progressive fue muy criticada por haber entregado USB inseguras que no cumplían con normas de seguridad básicas.

"El firmware que tiene la unidad es deficiente e inseguro. No valida ni verifica las firmas de las actualizaciones de firmware, no tiene secure boot, no tiene autenticación móvil, básicamente, no utiliza ningún tipo de tecnología de seguridad" explicó el investigador Corey Thuen a Forbes.

6. Códigos obsoletos. Claudia Vizcarra, gerente para MCLA de Sophos, entre otros posibles riesgos de ciberataque destacó que los hackers tienen acceso a los dispositivos IoT porque, en general, muchos tienen códigos obsoletos, que están basados en sistemas operativos sin mantenimiento.

"En 2016, Mirai mostró el potencial destructivo masivo de los ataques DDoS, fruto de la inseguridad de los dispositivos con IoT (Internet de Cosas). Los ataques de Mirai tan sólo explotaron un pequeño número de dispositivos y vulnerabilidades, usando técnicas básicas de predicción de contraseñas", señaló la especialista.

Cómo asegurar los vehículos autónomos:

Hernando Castiglioni, gerente de Ingeniería en sistemas para el Este de Sudamérica de Fortinet, compartió algunos consejos para contrarrestar ciertas vulnerabilidades de estos sistemas.
Comunicaciones internas del vehículo. Los automóviles inteligentes tienen diversos y distintivos sistemas a bordo como los sistemas de control del auto, de entretenimiento e incluso sistemas de terceros cargados a petición del dueño.

Hasta cierto punto, estos sistemas necesitarán participar en la interacción para dar vida a nuevos servicios. Éstos podrían ser administrados y monitoreados de cerca por los firewalls y Sistemas de Prevención de Intrusiones (IPS), los cuales pueden distinguir perfectamente, dentro del área de red del automóvil, entre comunicaciones legítimas y normales de las actividades ilícitas.

Comunicaciones externas. Muchos, si no todos los sistemas a bordo, tendrán razones para comunicarse con los servicios basados en Internet para buscar funciones como actualizaciones de software y acceso a Internet.

Probablemente, las comunicaciones se iniciarán desde dentro del vehículo o hacia el vehículo proveniente del fabricante o del Internet. Lo anterior significa también que el tráfico, desde y hacia el automóvil, necesitará ser administrado e inspeccionado contra amenazas y comunicaciones ilícitas, defectuosas o no autorizadas. Para eso se necesita utilizar firewalls y capacidades similares al IPS.

La Infraestructura de conectividad. Probablemente estará basada en las, ya bien establecidas, redes de celulares como los servicios de datos 3G o 4G, pero con un pequeño giro. Si bien estos servicios de telefonía celular ya proveen conectividad a miles de millones de smartphones y otros dispositivos en todo el mundo, también sufren de seguridad inconsistente.

Los automóviles con manejo asistido o sin conductor aumentarán significativamente las apuestas. Un ataque dirigido sobre la red celular, o a través de ella, podría disparar una falla crítica a la seguridad en, literalmente, miles de vehículos en movimiento al mismo tiempo.

Asegurar las redes celulares a través del abastecimiento de conectividad fundamental al vehículo requerirá de una exhaustiva revisión, para así prevenir posibles catástrofes.

Identidad de alta seguridad y sistemas de control de acceso. Éstos permitirán que los automóviles puedan autenticar las conexiones entrantes para los sistemas esenciales y para los servicios basados en el Internet, con el objetivo de identificar positivamente los vehículos y la información que registran en la nube, así como las transacciones que podrían realizar a nombre de los propietarios.

"Hoy grandes fabricantes como Microsoft están haciendo esfuerzos para transformar la forma que los sistemas de ciberseguridad gestión amenazas on-the-go. El sistema SYNC puede frenar ataques, además de brindar toda la conectividad del vehículo", concluyó Stranieri.