Ciberseguridad en vehículos conectados y autónomos

Los vehículos autónomos utilizan sensores y algoritmos complejos para detectar y responder a su entorno. Algunos ejemplos de tecnologías habituales empleadas en vehículos autónomos son: Computer Vision, LIDAR, GPS, etc…

Gracias a estas tecnologías, los vehículos autónomos no necesitan un conductor para completar ni siquiera viajes complejos. Además, varios vehículos autónomos pueden comunicarse entre sí para mejorar el tráfico y evitar obstáculos.

Muchas empresas, como Waymo y Tesla, están invirtiendo enormemente en el liderazgo futuro de los vehículos autónomos (automóviles autónomos).

Los investigadores del DoT estiman que los vehículos totalmente autónomos, también conocidos como autos sin conductor, podrían reducir las muertes por accidentes de tránsito hasta en un 94% al eliminar estos accidentes que se deben a errores humanos. Pero surge el problema de la ciberseguridad en estos vehículos conectados y autónomos.

Este post lo dedicamos a explicar qué tipo de ciberataques pueden sufrir los vehículos conectados y cuáles son las medidas de seguridad cibernética a implantar para reducir o evitar esos ataques.

¿Qué son los vehículos conectados y autónomos?

El Código de Prácticas del Departamento de Transporte (DfT) describe un vehículo totalmente autónomo como «aquel en el que no es necesario un conductor», aunque estos vehículos podrán transportar pasajeros.

Si bien la realidad de los vehículos totalmente autónomos en nuestras carreteras está un poco alejada, ya existen muchos vehículos conectados en nuestras carreteras. Las tecnologías de vehículos conectados permiten que los vehículos se comuniquen entre sí y con la infraestructura que los rodea. Mucha gente ya estará familiarizada con las tecnologías de los vehículos conectados, por ejemplo, la navegación por satélite, la telemática y «eCall».

Los CAV a menudo se analizan en el contexto de los «niveles de automatización». Los niveles de automatización describen el nivel de tecnología de vehículos autónomos.

Niveles de automatización

Existen distintos niveles de automatización:

  • El conductor humano supervisa el entorno de conducción
    • Nivel 0: Sin automatización
    • Nivel 1: Asistencia al conductor. El sistema de asistencia al conductor ayuda al conductor humano con la dirección o la aceleración / desaceleración con la expectativa de que el conductor humano realizará todas las funciones restantes.
    • Nivel 2: Automatización parcial. El sistema de asistencia al conductor realiza la dirección y la aceleración / desaceleración utilizando información sobre el entorno de conducción con la expectativa de que el conductor humano realizará todas las demás tareas de conducción.
  • El sistema de conducción automatizado supervisa el entorno de conducción
    • Nivel 3: Automatización condicional. El sistema de conducción automatizado se encarga de todos los aspectos de la tarea de conducción dinámica con la expectativa de que el conductor humano responderá adecuadamente a una solicitud de intervención.
    • Nivel 4: El sistema de conducción automatizado de alta automatización asume todos los aspectos de la tarea de conducción dinámica, incluso si un conductor humano no responde adecuadamente a una solicitud de intervención.
    • Nivel 5: El sistema de conducción automatizado de automatización completa se encarga de todos los aspectos de las tareas de conducción dinámica en todas las carreteras y condiciones ambientales.

Comunicaciones entre CAV

Los conductores navegan por carreteras e intersecciones aplicando la información que se encuentra en los letreros de las carreteras, estaciones de radio u otros formularios recopilados antes de ingresar al vehículo para viajar. La combinación de toda esa información es necesaria para tomar la decisión correcta cuando surge una situación.

Los CAV requieren un flujo de datos similar para instituir un protocolo adecuado para eventos en las carreteras. La forma en que estos vehículos obtienen esa información es ligeramente diferente a la de los humanos.

Por ejemplo, la comunicación del vehículo permite que los vehículos se transmitan información entre sí sobre diversos cambios ambientales, como una gran afluencia de tráfico.

La aplicación efectiva de las comunicaciones de vehículo a vehículo (V2V) y de vehículo a infraestructura (V2I) podría reducir y / o eliminar hasta en un 80% los choques de cualquier tipo sin deterioro. Existen otras dos formas de comunicación vehicular incluidas en los sistemas de transporte inteligentes: vehículo a peatón (V2P) y vehículo a red (V2N). Todos estos mecanismos de comunicación se conocen colectivamente como vehículo a todo (V2X).

V2X depende en gran medida de las tecnologías inalámbricas. Las comunicaciones dedicadas de corto alcance (DSRC) es un tipo de tecnología inalámbrica desarrollada para la plataforma automotriz, específicamente para el uso de CAV. Específicamente, DSRC usa frecuencias de radio que se encuentran en un rango de la banda de 5.9 GHz. DSRC es la vía que permite a los CAV comunicarse entre sí y con la infraestructura.

El sistema DSRC se divide en dos categorías de hardware: la unidad a bordo (OBU), también conocida como equipo a bordo (OBE), y la unidad lateral de la carretera (RSU). Como su nombre indica, la OBU está estacionada dentro del vehículo y funciona como un transceptor multicanal para transmitir y recibir señales, mientras que la RSU intercambia información con la OBU de otro lugar.

Seguridad cibernética

Una investigación llevada a cabo mostró recientemente que un Jeep Cherokee puede ser pirateado solo a través de una conexión a Internet (haciendo que el automóvil se detenga en una autopista). Además, se ha demostrado que otros tipos de vehículos son sensibles a los ataques por cable o inalámbricos (por ejemplo, Toyota Prius, Ford Escape). En estos casos, los piratas informáticos han podido: activar / desactivar los frenos de los vehículos, los volantes y aumentar la velocidad del vehículo.

Vulnerabilidades

Los piratas informáticos pueden intentar aprovechar las vulnerabilidades de los vehículos autónomos de muchas formas posibles:

  • Computación en la nube: los automóviles autónomos producen y almacenan datos nuevos cada segundo y utilizan la computación en la nube para un almacenamiento / recuperación rápidos (por ejemplo, identificar la posición del GPS para predecir el flujo de tráfico). Si un hacker pudiera acceder a la base de datos en la nube de un automóvil, podría manipular muchas funciones de un automóvil (por ejemplo, apagar los dispositivos de seguridad). Además, debido a que la transferencia de información debe ser lo más rápida posible, es difícil cifrar en gran medida la información enviada.
  • Múltiples lenguajes de codificación: hoy en día, los automóviles se crean ensamblando muchos componentes fabricados por diferentes fabricantes. Para garantizar que un automóvil funcione perfectamente, todas las diferentes partes deben comunicarse perfectamente entre sí. Si no se puede garantizar una comunicación segura, los piratas informáticos pueden intentar aprovechar esto. Los fabricantes de automóviles suelen realizar pruebas de penetración para asegurarse de la seguridad de sus vehículos.

Hay dos riesgos principales asociados con la piratería de vehículos autónomos:

  • El hacker podría tomar el control del automóvil de forma remota.
  • El hacker podría acceder a la información personal de los usuarios.

Países como los EE.UU. y Reino Unido ya aplicaron la legislación para garantizar que los fabricantes de automóviles mantengan un estándar mínimo de ciberseguridad requerido.

Garantizar una alta seguridad en los vehículos autónomos también puede aumentar la confianza del público para invertir en esta nueva tecnología.

Tipos de ataques que pueden sufrir

Los CAV, junto con cualquier otra plataforma informática, son susceptibles a dos formas de ataque, pasivo y activo.

Los ataques pasivos leen información que se está transfiriendo entre un CAV y otro punto de comunicación. Este tipo de amenaza tiene un riesgo menor en comparación con los ataques activos donde los resultados pueden terminar fatalmente.

Los ataques activos pueden consistir en falsificar datos incorrectos, reenviar un mensaje anterior para obtener claves del sistema validadas, modificar el mensaje de datos relevantes o negar el servicio que impide la transferencia de datos en un servidor afectado donde la transferencia de datos es vital.

Ataques pasivos

Un CAV emitirá un mensaje que contenga la velocidad verificada, la ubicación, un seudónimo, para el automóvil, y otra información para alertar a otros vehículos cercanos por motivos de seguridad.

Los atacantes pueden escuchar la información de ubicación y los seudónimos del automóvil para la selección inicial del automóvil objetivo.

Los datos verificados, similares a los mensajes de seguridad transmitidos, se transfieren a una RSU a través de una máquina virtual. Las máquinas virtuales son conexiones seguras en la nube a las RSU locales y al CAV. Los datos de la máquina virtual le dan al atacante un segundo grupo de datos observables. Siempre que la máquina virtual no se revise a través de los intercambios de una RLU a otra o entre diferentes ubicaciones, el atacante puede recopilar datos de ubicación de forma continua.

Ataques activos

A nivel de la carretera, las señales de GPS son susceptibles a intentos de interferencia maliciosos porque sus niveles de potencia son bajos después de la atenuación a larga distancia. Usando una señal de interferencia como un ataque activo, el GPS puede ser dominado y volverse ineficaz.

El peligro viene en la incapacidad de determinar cuándo y dónde detenerse sin la señal de localización.

Un ataque activo puede involucrar tanto al sistema de transporte inteligente como a los CAV. Cambiar la distancia entre vehículos autónomos puede interrumpir el flujo de tráfico y aumentar las posibilidades de accidentes.

Este método de ataque no implica la conexión de software o hardware ubicado en los CAV, sino que utiliza exclusivamente reglas de operación para el control de distancia para manipular la velocidad y densidad de los CAV en una sección determinada de la carretera.

Los vehículos seleccionados se manipulan a una velocidad y un perfil de capacidad predeterminados para que el ataque funcione de manera eficaz. Una vez en los parámetros deseados, los vehículos maliciosos reducen sutilmente la velocidad para activar las funciones de control de distancia en los vehículos ubicados detrás. Cuanto menor sea la alteración de la velocidad, mayor será la efectividad del ataque debido a la dificultad de detección.

El ataque de denegación de servicio (DoS) es un proceso perjudicial que produce mensajes falsos hasta el punto de inflexión en el que el sistema infectado parece no estar disponible o no funcionar. En la plataforma CAV, este ataque es especialmente peligroso.

Aprendizaje automático

Como se mencionó anteriormente, los vehículos siempre producen y almacenan grandes cantidades de datos, luego nos toca a nosotros decidir cómo aprovechar al máximo estos datos.

El aprendizaje automático se puede utilizar potencialmente para identificar y prevenir comportamientos inusuales (por ejemplo, hacer que el automóvil entre en modo de estacionamiento mientras se conduce a alta velocidad en una autopista). De esta manera, se podría evitar que ocurran ataques de piratas informáticos.

Todavía se están llevando a cabo investigaciones para aumentar la precisión de la predicción. De hecho, para crear modelos capaces de distinguir entre comportamientos de conducción habituales e inusuales, se deben tener en cuenta muchos factores que relacionan el automóvil y su entorno.

Además, podría ser posible agregar una función para que el conductor permita comportamientos «inusuales» si se considera necesario según su criterio.

Implicaciones legales

A medida que los vehículos autónomos se están volviendo más populares, las instituciones ahora se están preocupando si es necesario crear nuevas leyes para regular su uso.

Por ejemplo, en 2018 en Arizona (EE.UU.) se registró el primer caso de un coche autónomo que mató a un peatón. Según el informe policial, el peatón podría haber tenido la culpa. En este caso, ¿quién debe considerarse culpable?

  • ¿El conductor del vehículo? (que no tenía el control del vehículo en el momento del accidente).
  • ¿El desarrollador de software? (quien creó el software diseñado para manejar este tipo de situaciones).
  • ¿El fabricante de automóviles? (que no tomó suficientes precauciones al diseñar y suministrar el vehículo).
  • ¿Quién debería hacerse cargo del seguro del automóvil? (ya que el conductor no toma el control del vehículo en la mayoría de las situaciones).
  • En caso de una colisión inevitable, ¿el automóvil debe priorizar su propia seguridad o la de los demás vehículos / peatones involucrados?

La mayoría de estas preguntas aún no tienen respuesta y podrían adoptarse diferentes enfoques para resolverlas (según el país regulador).

Medidas de seguridad en vehículos conectados

La principal y más grave amenaza en caso de un ciberataque es el peligro para la vida del conductor. Un automóvil pirateado podría representar un riesgo grave para la salud de su propietario. Afortunadamente, los aterradores experimentos de los piratas informáticos ahora están ayudando a los fabricantes de automóviles y desarrolladores de sistemas de automóviles conectados a mejorar la seguridad de los productos que lanzan.

La segunda amenaza son los datos. En noviembre de 2017, Uber denunció el robo de datos pertenecientes a 57 millones de sus usuarios. Los piratas informáticos robaron los nombres, direcciones de correo electrónico y números de teléfono de 50 millones de pasajeros de Uber de todo el mundo. Los piratas informáticos también obtuvieron acceso a la información personal de siete millones de conductores, incluidos aproximadamente 600.000 números de licencia de conducir de EE.UU., historial de viajes y uso del vehículo, datos personales y estadísticos: cualquier cosa podría ser objeto de un ataque.

Un pirata informático que se conecta al sistema de un vehículo puede obtener acceso remoto a todo lo que sucede dentro de él sin entrar físicamente en él. Cuanto más grande sea tu negocio, más aterradora será la perspectiva de robo de información personal y de la empresa.

El automóvil en sí se vuelve menos valioso que la información que se puede extraer de él. Y así, el robo de automóviles, un delito contra el que la mayoría de las personas están aseguradas (y el primer riesgo que enumeramos), ahora representa una pérdida menor que cualquier otro incidente potencial.

No hace falta decir que, para evitar estas amenazas, los fabricantes de automóviles y equipos para automóviles deben desarrollar sistemas seguros. En el caso de consorcios importantes, será necesario publicar estándares y definir requisitos: los OEM deben acordar los requisitos y lanzar nuevos sistemas innovadores para prevenir posibles ciberataques.

Durante el desarrollo, será importante centrarse en el componente tecnológico orientado al proceso después de verificar para garantizar que los entornos de desarrollo y prueba estén organizados y se ocupen de los problemas relacionados con el transporte del producto, la ubicación de almacenamiento del código de seguridad y los requisitos que garantizan la seguridad de ese código.

Mitigaciones

Los diseñadores deben tener en cuenta todas las amenazas anteriores al desarrollar sistemas de conducción autónoma y construir suficientes sistemas de defensa y redundancia para abordarlos.

Algunos de estos ejemplos pueden incluir:

  • Protocolos de seguridad que ponen los vehículos en modo de ‘bloqueo’: cuando está habilitado, la superficie de ataque se reduce al mínimo necesario para llevar a los pasajeros de forma segura a su destino. Estos protocolos podrían activarse en momentos en que existen o son probables amenazas específicas.
  • Controles de acceso para evitar comunicaciones no autorizadas: los sistemas que solo permiten tipos aceptados de comunicaciones pueden proporcionar una defensa adecuada, pero se deben realizar investigaciones adicionales sobre otras soluciones basadas en vehículos contra ataques DoS y DDoS.
  • Compartir amenazas y otros problemas de seguridad a través de comunicaciones V2V.

Queda por ver cómo de efectivas serán las medidas de seguridad diseñadas en los sistemas de vehículos autónomos cuando estos sean los vehículos predeterminados en la carretera. La industria automotriz ha construido procesos en torno a cómo maneja los defectos y las retiradas de vehículos, pero aún tiene que demostrar que es capaz de responder de manera efectiva a problemas generalizados de ciberseguridad.

Los fabricantes de vehículos han tomado medidas para mejorar la ciberseguridad, como el establecimiento en 2015 de un grupo de intercambio de inteligencia de amenazas llamado Centro de análisis e intercambio de información automotriz (Auto-ISAC).

Sin embargo, con cada vez más vehículos que cuentan con sistemas de conducción automática, los fabricantes deben tomar todas las precauciones para defenderse de amenazas maliciosas que podrían tener consecuencias graves y socavar la confianza que el público deposita en estas innovaciones.

Test Eurocybcar

Desde la UE se ha indicado que aquellos coches que no dispongan de certificado de ciberseguridad no podrán ser vendidos en Europa a partir de 2022, según la nueva regulación de Naciones Unidas que se aprobará este año y incluirá en un Reglamento Europeo de Seguridad de Vehículos.

El sector de la automoción recordará el año 2019 porque, por primera vez, ya es posible saber de forma oficial y comprobada si un vehículo es ciberseguro. Algo muy importante que afecta a la seguridad de las personas que viajan en coche, porque hay que tener en cuenta que los coches que circulan por nuestras carreteras son grandes ordenadores sobre ruedas: tienen bluetooth , Puertos USB, Wifi, mando a distancia para abrir y cerrar las puertas, APPs que descargas en tu smartphone para activar el cierre centralizado de forma remota, hacer sonar la bocina, conectar climatización… Y el hecho de que un extraño pueda acceder a todos estos dispositivos con mucha facilidad se ha convertido en un problema que debemos abordar lo antes posible.

Así, ha surgido una empresa en materia de ciberseguridad de los automóviles, EUROCYBCAR, dependiente del Basque Cybersecurity Center (BCSC), uno de los centros europeos de referencia en materia de ciberseguridad.

Siempre que sepamos si un coche es seguro en caso de colisión, es gracias a EuroNCAP, o ecológico, gracias a GreeNCAP, ya es posible saber si un coche es ciberseguro, gracias a EUROCYBCAR. Esta empresa hará públicos los resultados de las pruebas para que los consumidores puedan conocer y comparar el nivel de ciberseguridad de los coches.

El test EUROCYBCAR tiene un doble objetivo: por un lado, verificar que el automóvil protege adecuadamente la privacidad del conductor y de los pasajeros a bordo. Y sobre todo, si también protege la propia vida. ¿Cómo? Comprobando si es fácil para alguien acceder física o remotamente a los sistemas de un automóvil y modificar su funcionamiento.

En el test EUROCYBCAR se efectúan tres tipos de pruebas: prueba de acceso físico, prueba de acceso remoto y prueba de APPs oficiales que proporcionan los fabricantes de automóviles para controlar de forma remota sus coches y las descargas del conductor en su smartphone. Todas estas pruebas son efectuadas por un equipo de auditores certificados, formado por hackers, probadores de coches y especialistas en temas legales.

Una vez que el vehículo ha sido sometido al protocolo EUROCYBCAR, se le otorga una calificación con una puntuación del uno al cinco. Cuanto más alto significará que el coche analizado tiene un mayor nivel de protección. Una buena nota en la prueba también será similar a una buena implementación mínima de medidas para evitar que alguien pueda tomar el control remoto de algunos elementos como vías de conducción, frenos, motor … lo que podría ocasionar accidentes importantes al conductor, a los pasajeros a bordo y a los usuarios de la vía.