Como cualquier dispositivo conectado a Internet, los coches conectados son susceptibles de sufrir ciberataques. Hay varios ejemplos de delincuentes informáticos que han accedido a vehículos a través de sus sistemas de entretenimiento, Bluetooth o tecnología sin llave.
Lo que todos estos incidentes tienen en común es que afectan a vehículos concretos.
Los delincuentes que quisieran paralizar la flota de una empresa tendrían que tener, más o menos, acceso directo a cada uno de los vehículos. Parece poco realista. Sobre todo porque probablemente sería mucho más fácil paralizar o al menos perturbar gravemente las operaciones de una empresa de logística utilizando vías de ataque «clásicas».
En 2017, por ejemplo, el ransomware WannaCry se introdujo en sistemas Windows antiguos a través de una vulnerabilidad no parcheada. Por supuesto, esto no quiere decir que no puedan producirse también ataques digitales a vehículos individuales, por motivos completamente diferentes como el robo, por ejemplo. En este caso, la seguridad también debería ser la máxima prioridad.
Abordando el punto débil de un vehículo
Los dispositivos IoT, como los electrodomésticos conectados en red, son desde hace tiempo un popular objeto de ataque en las redes domésticas. A menudo son víctimas predilectas de los atacantes, ya que se pueden atacar fácilmente a través de un hardware inseguro o un firmware obsoleto si los dispositivos no se actualizan con regularidad.
¿Serían posibles estos ataques también a través de los coches conectados?
En principio, los coches conectados forman una red y, como sistema global, sólo son tan seguros como sus componentes más débiles. En consecuencia, la intrusión en el vehículo a través de componentes de red no seguros sería posible en principio. Por lo tanto, es esencial que los fabricantes vigilen toda la cadena de suministro de hardware y software para saber siempre qué está instalado y dónde, incluso a nivel de microchip.
Las actualizaciones periódicas son imprescindibles.
Si los atacantes consiguieran acceder a un solo vehículo, se plantea la cuestión de qué beneficio les reportaría. En última instancia, esto es difícil de evaluar. Depende en gran medida de si los vehículos concretos se gestionan de forma centralizada y de si esta ubicación está a su vez vinculada a sistemas críticos para la empresa. Hay muchos parámetros particulares, por lo que es difícil hacer una afirmación general. Sin embargo, los vehículos conectados en red no deben pasarse por alto como objeto de ataque per se.
Los coches conectados forman una red y sólo son tan seguros como sus componentes más débiles
En determinados sectores, incluso un ataque a un solo vehículo podría tener graves consecuencias. Esto es especialmente cierto en el caso de los coches autónomos. Por tanto, la seguridad del hardware y la informática hasta el nivel de los componentes individuales debe ser una prioridad absoluta.
Las empresas también deben comprobar si necesitan sistemas de confort o entretenimiento. Si no es así, los vehículos deben encargarse sin tener la funcionalidad o con los dispositivos desactivados. Reducir la superficie potencial de ataque es, en definitiva, una de las tácticas más eficaces contra la ciberdelincuencia.
Ataques de terceros a los datos transmitidos por medios telemáticos
Incluso más allá de la definición de coche conectado, la mayoría de los vehículos de flota ya están conectados en red hoy en día, concretamente a través de sus dispositivos telemáticos.
¿Cómo debe evaluarse este hecho en términos de ciberseguridad?
La interceptación de los datos transmitidos por ataques de terceros podría ser especialmente problemática si los datos no están cifrados. Los delincuentes podrían entonces utilizar los datos de localización en tiempo real para fines ilegales, como el robo, por ejemplo.
los operadores de flotas deben asegurarse de que sus socios telemáticos encriptan de forma fiable los datos
También existe la amenaza de incumplir las leyes de protección de datos si, por ejemplo, la información personal sobre los conductores cae en manos equivocadas. Por ello, los operadores de flotas deben asegurarse de que sus socios telemáticos encriptan de forma fiable los datos en tránsito y almacenados para que no puedan ser interceptados.
Es probable que los vehículos conectados en flotas no se conviertan en el principal objeto de ataque para penetrar en los sistemas centrales de las empresas correspondientes. Los cibercriminales tienen formas mucho más eficaces de lanzar ataques.
No obstante, existe el riesgo de que se pirateen vehículos individuales para robar el propio vehículo o sus valiosos datos. Los datos también pueden ser hackeados cuando las vías de transmisión no están adecuadamente protegidas.
Por tanto, los gestores de flotas deben asegurarse de que los fabricantes de vehículos y sus socios telemáticos han implantado medidas de seguridad eficaces y pueden acreditarlas de forma fiable.
Christoph Ludewig es vicepresidente de OEM Europa en Geotab