El sector automotriz avanza cada vez más en tecnología y hoy ya es posible revisar el estado de algunos autos a través de una aplicación para celular, pueden observarse, comprarse y usarse vehículos eléctricos e híbridos, y en algunos casos, ya no es necesaria una llave para encenderlos. Este panorama, hace 20 años, quizás era impensable.
Cifras de la plataforma de ciberseguridad Upstream muestran que en 2021 a escala mundial se reportó un impacto financiero de 505 mil millones de dólares en la industria automotriz por el car hacking, superando las pérdidas que reportaron sectores como bancos y seguros por ciberdelincuentes, que son 347 mil y 305 mil millones de dólares, respectivamente.
Los autos cada vez se vuelven más computadoras móviles, lo que ha traído consigo que su vulnerabilidad aumente en el terreno de la tecnología, pues los delincuentes encontraron una ventana de oportunidad con todas estas innovaciones, de acuerdo con expertos consultados por MILENIO.
El vicepresidente de seguridad de inteligencia artificial de la compañía estadunidense DigiCert, Mike Nelson, indicó que los vehículos cada vez están más conectados para permitir el mantenimiento predictivo, una mejor experiencia al consumidor y una conducción más segura.
Añadió que cada uno contiene cientos de Unidades de Control Electrónico (ECU, por su siglas en inglés) enfocadas a las diferentes funciones y componentes de un automóvil, como frenos, ventanas, controles de temperatura y otras.
- Te recomendamos Hacienda elimina impuesto a gasolina Magna y diésel ante alza de precios por conflicto en Ucrania Negocios
“Sin embargo, la conectividad sin la seguridad adecuada crea un riesgo inaceptable para los consumidores que operan los vehículos… Muchos ataques automotrices que hemos visto se centran en obtener acceso a la puerta de enlace de la ECU. Una vez dentro de la puerta de enlace, los piratas informáticos debidamente capacitados pueden obtener acceso a las muchas ECU, incluido el envío de comandos para manipular las funciones del vehículo”, expresó.
El director de Investigación y Desarrollo de la empresa de ciberseguridad de Metabase Q, Salvador Mendoza, indicó que este tipo de actos delictivos están encaminados a obtener una ganancia rápida que, en su mayoría, terminan resultando en la venta de autopartes del vehículo hurtado.
“El panorama es alentador a nivel de avances tecnológicos, pero así mismo con cada avance viene un riesgo y lo principal es estar preparados para esos riesgos, y más que nada estar concientizados acerca de lo que puede estar pasando en un futuro… Lo que estamos viendo son nuevas técnicas de ataque que antes no veíamos”, expresó.
Europa conoce la fragilidad
La última edición del Foro Mundial para la Armonización de la Reglamentación sobre Vehículos (WP.29), de la Organización de las Naciones Unidas y la Comisión Económica de las Naciones Unidas para Europa, como consecuencia de los últimos avances tecnológicos en el sector, hizo un mayor énfasis en la seguridad.
Destacó que el Comité de Transportes Interiores, encargado del desarrollo sostenible y armonizado de todos los modos de transporte en Europa, “presta especial atención a los sistemas de transporte inteligentes, como las tecnologías innovadoras de automatización vehicular”.
“Se están elaborando disposiciones técnicas para los aspectos específicos de la conectividad y automatización de los vehículos. Esta labor es necesaria para integrar las tecnologías innovadoras en el sistema de transporte actual y aprovechar los beneficios que pueden reportar esas tecnologías”, mencionó.
Mendoza agregó que el car hacking se efectúa en modelos a partir de 2017 en adelante y que se ha visto mayormente en Ciudad de México, Jalisco, Nayarit y en algunos casos en estados fronterizos al norte del país. Este método se realiza a partir del control remoto del auto, que puede ser activo o pasivo, dependiendo de su sistema.
Desde la perspectiva de Mendoza, lo que comienza a suceder en México es una muestra de lo que está pasando en países de primer mundo, en donde este tipo de ataques son más comunes.
“Básicamente lo que estamos viendo ahora en México o en Latinoamérica es el hecho que estas otras tecnologías que se estaban utilizando en países de primer mundo, dentro de la forma en la que se pudieran conseguir, se están trayendo a México y Latinoamérica para poder hacer ese tipo de ataques y lo vimos o lo estamos viendo en modelos sumamente recientes, 2019, 2020”, agregó.
Para el car hacking, cuando el control del vehículo es activo, el atacante posiciona un dispositivo entre el artefacto y el auto, para interferir en la transmisión impulsada por el propietario del vehículo al momento de abrirlo o cerrarlo. Al obstaculizar este proceso, el atacante es capaz de abrir el auto al activar el dispositivo que utilizó.
Cuando el control remoto es pasivo, el método de robo suele realizarse entre dos atacantes, uno que está alrededor del vehículo y otro que se acerca al lugar en donde está el control remoto del vehículo. El que está cerca del control emite una señal, a través de un dispositivo, a quien está en el perímetro del auto para poder abrirlo.
En ambos escenarios el robo sucede en cuestión de segundos y sin que el propietario de la unidad se percate. De acuerdo con Mendoza, de cada 10 de estos intentos de car hacking, ocho terminan siendo efectuados con éxito.
- Te recomendamos Producción automotriz registra primera alza en febrero, luego de siete meses a la baja Negocios
Actividad al alza
De acuerdo con la Asociación Mexicana de Instituciones de Seguros (AMIS), a lo largo del año pasado fueron robados 62 mil 208 vehículos que contaban con la protección de algún seguro, lo que significó un promedio diario de 170 unidades. Al no tener clasificación en cuanto al tipo de robos, el organismo indicó a MILENIO que no hay forma de conocer cuántos fueron efectuados a partir del car hacking.
Pese a lo anterior, Mendoza resaltó que este tipo de hurtos irá al alza en años posteriores en México, pues los autos se vuelven cada vez más computadoras móviles, cambio que es acompañado por nuevos delincuentes expertos en materia de innovación.
Reto para Tesla
Un artículo de DigiCert expuso que a partir del análisis de seis sistemas de carga para autos eléctricos, la gran mayoría tienen graves fallas de seguridad, vulnerándose así desde el control remoto de sus funciones hasta la invasión de otros dispositivos que comparten la misma red, además de que es posible encender y apagar los cargadores de forma remota.
“Además de controlar el flujo de electricidad, las amenazas también pueden incluir el robo de identidad, la alteración de datos y el malware… Estas amenazas pueden ir más allá del propio vehículo y comprometer la estación, los operadores de los puntos de recarga e incluso los operadores del sistema de distribución”, afirmó.
El director de investigación y desarrollo de la empresa de ciberseguridad de Metabase Q, añadió que si bien, Tesla es la marca icónica en cuanto a electrificación en el sector automotriz, sus avances en tecnología no dejan de ubicarla en una situación de vulnerabilidad.
“Los autos Tesla manejan ese tipo de tecnología y se han estado agregando nuevas tendencias dentro del mismo auto para poder hacerlo mucho más seguro, para poder protegerlo, para poder rastrearlo, para saber dónde se encuentra, incluso para poder controlarlo desde una aplicación móvil, pero claro, todas estas nuevas tecnologías que se van agregando van abriendo o van dejando pequeñas puertas que los atacantes pueden comenzar a investigar y puede ser como una caja de Pandora”, aseveró.
Tarea por cumplir
Tanto Nelson, de DigiCert, como Mendoza resaltaron que ante este panorama, las empresas del sector tienen una nueva tarea por cumplir, en cuanto a que si avanzan en la tecnología integrada en los vehículos, también deberán de hacerlo en materia de seguridad.
“Los OEM automotrices deben asegurarse de que están incorporando los controles de seguridad correctos en sus vehículos. Aprovechar las mejores prácticas de seguridad, como la firma de firmware y código, la autenticación mutua para todas las conexiones, el cifrado de datos en tránsito y en reposo puede ayudar a prevenir este tipo de ataques y mantener seguros a los consumidores. Con la seguridad adecuada incorporada, los malos quedan bloqueados”, aseveró el vicepresidente de seguridad de inteligencia artificial de DigiCert.
AMP