Conducir hacia el desastre

Cybersecurity
Conducir hacia el desastre
 

Al comprar un vehículo, numerosas referencias están disponibles para los consumidores sobre la seguridad física de los modelos en el mercado. Los posibles compradores pueden hablar con el personal de ventas acerca de las características específicas de seguridad, visitar el sitio web del fabricante para verificar el número de bolsas de aire, hacer referencia al sitio web del Instituto de Seguros de la Seguridad en las Carreteras (Insurance Institute for Highway Safety, en inglés), e incluso ver videos de pruebas de choque en YouTube para ver exactamente cómo el vehículo reacciona cuando se estrella contra una pared a 30 millas por hora.

Pero cuando se trata de aprender acerca de los sistemas informáticos en el interior del vehículo, es más difícil encontrar información.  "Todo el mundo puede obtener los Reportes del Consumidor y ver las puntuaciones de seguridad de pruebas de choque," dice Chris Valasek, director de investigación de la seguridad del vehículo en IOActive - una consultoría de seguridad global.  "La mayoría de la gente no sabe acerca de todos los tipos de tecnología que hay en sus coches.  Ellos piensan que es sólo una mera máquina mecánica, cuando en realidad es un grupo de computadoras que le ayudan a conducir ".

En las últimas décadas, los vehículos se han vuelto cada vez más computarizados a medida que los fabricantes añaden más tecnología a los modelos, como los sistemas de monitoreo de presión de neumáticos, control de velocidad de crucero, Bluetooth, GPS, e incluso la capacidad de punto de acceso Wi-Fi.  Todos estos sistemas dependen de unidades de control electrónico (ECU por sus siglas en inglés) conectados a través de una red de área de controlador (CAN por sus siglas en inglés), al igual que la red en su edificio de oficinas, pero mucho más "primitivo y simple", explica Valasek.

Algunos vehículos contienen hasta 100 ECUs por separado, que se comunican entre sí a través de mensajes en constante envío de ida y vuelta que contienen pequeñas cantidades de datos, como por ejemplo "las luces del coche están apagadas" al conducir durante el día.                                

Y estos mensajes son vulnerables a la intercepción y la manipulación.  De acuerdo con un reciente informe -Seguimiento & Hacking:  Brechas en la Seguridad y Privacidad Ponen a los Conductores Estadounidenses en Riesgo- por el staff del senador Ed Markey(D-MA), "casi el 100 por ciento de los coches en el mercado incluyen tecnologías inalámbricas que podrían presentar vulnerabilidades relativas a piratería o de intrusión de la privacidad."

Estas vulnerabilidades incluyen la posibilidad de acceder al sistema Bluetooth en el auto para utilizarlo para escuchar conversaciones en el interior del vehículo, para rastrear los movimientos de un vehículo, o tomar el control de las funciones básicas del vehículo, tales como frenos, dirección y aceleración.  Además, de los 16 fabricantes de automóviles que han respondido a la solicitud de Markey de información, sólo dos fueron capaces de describir alguna capacidad para diagnosticar o responder significativamente a una infiltración en tiempo real, y ninguno fue capaz de informar sobre los últimos incidentes de hackeo.  Esta no es la primera vez que estas amenazas se han reportado.  Muchas fueron abordadas en investigaciones anteriores, dice Terry Berman, director senior de programa en MicroStrategy.

"Ha habido estudios que se remontan al menos al 2010, donde se identificaron vulnerabilidades en los vehículos, por lo que es muy decepcionante el hecho de que estos fabricantes realmente no se han tomado el tiempo o la energía para hacer frente a estos problemas", le dice a “Security Management”.

Uno de esos estudios fue realizado por Valasek y su socio de investigación Charlie Miller, un ingeniero de seguridad en Twitter.  Ellos recibieron una subvención a través de la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA por sus siglas en inglés) en 2012 y se utilizaron los fondos para comprar un Toyota Prius 2010 y un Ford Escape de 2010.

Utilizando un ordenador portátil conectado a los vehículos, Valasek y Miller enviaron mensajes a través de la CAN para hacer que los automóviles súbitamente aceleren, giren, frenen, activen la bocina, cambien la configuración de los faros, y modifiquen las lecturas del velocímetro y del medidor de gasolina.  Luego compartieron sus hallazgos con Toyota y Ford con la esperanza de mejorar los esfuerzos de seguridad cibernética de vehículos del fabricante, pero fueron rechazados cuando las empresas señalaron que utilizaron un ordenador portátil para acceder directamente a los sistemas informáticos de los vehículos.

"Lo que las empresas no pudieron notar es que el estudio de DARPA estaba basado en una investigación anterior que demostró que se podría, de forma remota y sin cables, acceder la CAN de un vehículo... a través de las conexiones Bluetooth, sistemas de OnStar, malware en un smartphone Android sincronizado, o un archivo malicioso en un CD en el equipo de sonido," dijo el informe de Markey. Valasek y Miller dieron seguimiento a su investigación en 2014 y examinaron la posibilidad de hackeo de 21 modelos de vehículos diferentes.  Ellos presentaron sus hallazgos en la conferencia "Sombrero Negro USA" (Black Hat USA) el año pasado y divulgaron su informe completo al público en un esfuerzo por aumentar la conciencia sobre la seguridad cibernética en vehículos.  "Queremos que no sólo los consumidores, sino también los investigadores de seguridad como nosotros, empecemos a investigar más sobre estos vehículos", explica Valasek.  "Esperamos que con la publicación de este tipo de información, podamos conseguir que las grandes empresas de automóviles y proveedores de primer nivel piensen acerca de la seguridad".

GM, una de las empresas encuestadas por Markey, declinó hacer comentarios sobre las conclusiones del informe. Sin embargo, la portavoz Laura Toole dice que la compañía está tomando un enfoque multifacético para la ciberseguridad en el vehículo y está diseñando los sistemas del vehículo para que puedan ser actualizados con las medidas de seguridad mejoradas de acuerdo a como las amenazas potenciales evolucionan. GM es líder en este esfuerzo a través de la creación de su organización "Vehículo y Vehículo Servicios de Seguridad Cibernética". "Estos expertos trabajan con especialistas externos para minimizar los riesgos de acceso no autorizado a los vehículos y a los datos de los clientes", explica Toole. "Este equipo también es líder en la participación de GM en los esfuerzos de toda la industria para desarrollar e implementar medidas defensivas y las estrategias para reducir los riesgos de seguridad cibernética".  Ford y Toyota –los cuales también respondieron a las preguntas acerca del informe Markey- no respondieron a las solicitudes de comentarios.

Junto con las vulnerabilidades de seguridad cibernética del vehículo, el informe de Markey también encontró que los vehículos están recopilando información acerca de los conductores.  Esto incluye la ubicación física del vehículo a intervalos regulares, el último lugar donde estaba estacionado el vehículo, la velocidad del vehículo, y las distancias y tiempos de recorrido, entre otros.  El informe de Markey encontró que los clientes no están "explícitamente" conscientes de que se están recopilando sus datos, y cuando lo están, "a menudo no pueden optar por lo contrario sin desactivar características valiosas, como la navegación". Estos datos se almacenan en una variedad de maneras, incluyendo vehículos de a bordo en los que no pueden ser recuperados de forma inalámbrica o en una ubicación central donde los datos se transfieren de forma inalámbrica.  Nueve de las 11 empresas encuestadas también dijeron que contratan con empresas de terceros para proporcionar las características de recolección de datos que ofrecen, tres de las cuales a su vez licencian compañías de terceros para transmitir y almacenar datos asociados con las características de recolección.

Sin embargo, el informe de Markey encontró que la mayoría de los fabricantes no describieron "medios eficaces para asegurar los datos" que se colectan.  "En el caso de almacenamiento a bordo, ningún fabricante describe algún sistema de seguridad para proteger los datos, y varios de ellos señalaron que no se necesita ninguna medida de seguridad ya que el acceso a datos requeriría una conexión mediante cables."

De los fabricantes que transmiten de forma inalámbrica los datos del vehículo, sólo seis empresas respondieron: cinco proporcionaron respuestas vagas mencionando encriptación, contraseñas, o prácticas de seguridad de TI en general; y sólo una "mencionó específicamente que diseñaron sus sistemas para limitar la transferencia de información de identificación personal."

En noviembre, la Alianza de Fabricantes de Automóviles -que representa a 12 de las empresas encuestadas en el reporte de Markey- anunció nuevos principios de privacidad para salvaguardar la información del conductor, incluyendo el aumento de la concientización de los consumidores sobre las prácticas de privacidad a través de manuales de propietario y páginas web de las empresas, protegiendo la información sensitiva de los conductores, y esbozando las circunstancias limitadas en las que se comparten los datos del conductor.

Estos pasos muestran que los fabricantes se han comprometido a proteger la privacidad de los consumidores, dice el informe de Markey, pero el impacto de los principios "depende en parte de cómo los fabricantes los interpretan".  Esto se debe a que los esfuerzos de transparencia no son claros y pueden pasar desapercibidos por los consumidores, las directrices para la elección de los consumidores solamente abordan el intercambio de datos y no la recopilación de datos, y "las directrices para el uso de datos, seguridad y responsabilidad dejan en gran medida estas cuestiones a la discreción de los fabricantes".  Estos pasos también pueden no ser suficientes para evitar acciones legales.  En marzo, un abogado de Dallas, Marc Stanley, presentó una demanda colectiva en California contra Toyota, Ford y GM por no garantizar que sus vehículos funcionan correctamente y de forma segura, libre de defectos, cuando se trata de la seguridad cibernética.

"Debido a que los acusados fallaron en asegurar la seguridad electrónica básica de sus vehículos, cualquiera puede hackearlos, tomar el control de las funciones básicas del vehículo, y con ello poner en peligro la seguridad del conductor y la de otros", alega la demanda.

Markey también ha propuesto la adopción de medidas contra los fabricantes de automóviles mediante la introducción de una legislación copatrocinada junto con el senador Richard Blumenthal (D-CT).  Esa legislación dirigiría a la Administración Nacional de Seguridad de Tráfico en Carreteras y a la Comisión Federal de Comercio a establecer las normas federales para asegurar los vehículos y proteger la privacidad de los conductores.

"Necesitamos el equivalente electrónico de cinturones de seguridad y bolsas de aire para mantener a los conductores y su información seguros en el siglo 21", dijo Markey en un comunicado.

Los estándares que propone incluyen como requisitos que todos los puntos de acceso inalámbrico en los automóviles sean protegidos contra la piratería informática y evaluados a través de pruebas de penetración, que toda la información recopilada sea asegurada y encriptada para evitar el acceso no autorizado, y que los fabricantes o empresas de terceros sean capaces de detectar, reportar, y responder a eventos de hackeo en tiempo real.

Markey también pidió un reporte cibernético para informar a los consumidores sobre cómo el vehículo protege a los conductores más allá de las normas mínimas que ha propuesto, de forma similar a como se etiqueta el ahorro de combustible en los vehículos nuevos de hoy. Mientras tanto, Berman dice que los individuos de alto valor que pueden ser los enfoques de atentados, como los ejecutivos y diplomáticos, deben considerar la seguridad cibernética de los vehículos en que están siendo transportados.  En algunos casos, puede ser necesario que sean protegidos "digitalmente" igual que si se protegieran físicamente los vehículos con vidrio a prueba de balas y blindaje.  "Probablemente hay medidas que se pueden tomar para reducir la vulnerabilidad de los vehículos, pero se requerirían modificaciones específicas en el vehículo para protegerlo de la misma manera en que usted le protegería físicamente", explica. "Eche un vistazo a las comunicaciones que el vehículo es capaz de hacer y observe el potencial de eliminar esos dispositivos o desactivarlos, para vehículos que se utilicen para el transporte de blancos de alto valor".

--

Traducido por ​José Luis Hernández,  CPP, Security Manager, Imaging Software & Solutions.

To read in English, click here.​