Los automóviles conectados se están convirtiendo en una grata realidad. Desde hace algunos años los fabricantes de vehículos comienzan a incorporar tecnologías y servicios que ayudan a los conductores a la hora de hacer rodar por carreteras y autopistas sus cada vez más modernos vehículos.
Clear Air Act
El verdadero origen de la conectividad de los automóviles tuvo lugar en 1990 cuando el gobierno norteamericano a través de una modificación a su legislación “Clear Air Act” obligó a los fabricantes de coches a incorporar mecanismos automáticos de chequeo que permitieran verificar el funcionamiento de los motores y lanzar alarmas cuando se producían errores que afectaban a los niveles de polución que generaban. Como resultado, los coches comenzaron a incorporar conexiones de acceso a su electrónica para diagnosticar el funcionamiento de los diferentes componentes y establecer medidas de control de emisiones. Actualmente, esos puntos de conexión dentro de los vehículos se conocen como puertos OBD-II.
Al principio, esos puertos OBD requerían una conexión física que obligaba a los talleres oficiales a disponer de un equipo de interconexión que recogía la información para el diagnóstico del vehículo. Solo ellos, y de forma presencial, podían tomar las medidas. Sin embargo, las circunstancias cambiaron. Actualmente el uso de elementos de conectividad Wifi, Bluetooth o incluso redes de telefonía móvil han hecho que el interfaz a componentes electrónicos se amplíe con nuevas formas de acceso.
A día de hoy, los coches disponen de unidades de control que no solo se encargan del diagnóstico de los sistemas, sino que se coordinan para el perfecto funcionamiento de todos los componentes del vehículo. Es lo que se conoce como ECUs —Engine Control Units— que se responsabilizan de interconectar las diferentes redes de sensores y actuadores que tienen integrados. Y es que la tecnología digital ha introducido profundos cambios en el diseño de los vehículos lo que ha traído consigo nuevos modelos de conducción. Modelos en los que la asistencia y autonomía del automóvil están cada vez más presentes.
Electrónica interna
Esta digitalización en el diseño de los automóviles, sin embargo, también “conduce a problemas de seguridad”, aunque entendidos desde otra perspectiva, la de los ciberdelincuentes. Hoy en día, los nuevos vehículos están sometidos a las amenazas de los hackers. Amenazas que están dirigidas a las interconexiones de su electrónica interna —las redes basadas en el bus CAN, Controller Area Network, que incorporan—, las comunicaciones externas —redes móviles y Wifi con las que se conectan—, sensores que llevan instalados —GPS, IMU, LIDAR o cámaras que les proporcionan información para la conducción— o incluso el propio hardware y software de sus componentes internos —Conectores OBD, firmware de ECUs, modelos de actualizaciones, etc. Pocos elementos son inmunes al riesgo.
En este escenario, alteraciones intencionadas en un componente pueden afectar a funciones de la conducción tales como frenos, el motor o el control de la dirección; a los elementos externos del vehículo como el bloqueo de puertas, luces o sistemas de seguridad de los pasajeros; al robo del vehículo a través de la trazabilidad de señales GPS o navegadores; a las posibles fugas de datos generados por el propio automóvil o manejados por los pasajeros a través de los servicios que ofrece; y así un largo etcétera. Es lo que se conoce como la superficie de ataque en un vehículo conectado.
En 2015 casi un millón y medio de automóviles fueron llamados a revisión en Estados Unidos a causa de problemas relacionados con su ciberseguridad. Y la preocupación no ha cesado. Actualmente más de cien millones de ECUs —unidades de control— se encuentran instaladas en los vehículos más modernos; un número que según algunos estudios no dejará de crecer haciendo que, en un plazo de apenas 10 años, más de trescientos setenta millones de coches dispongan de algún tipo de conexión o automatización.
En 2040 se espera que la consolidación del vehículo autónomo sea un hecho. Los vehículos no solo controlarán todos sus elementos internos, sino que interactuarán con las infraestructuras intercambiando información con diferentes dispositivos localizados en la carretera (V2I) —iluminación, semáforos, pasos de cebra, cámaras…—, con actores externos como ciclistas, peatones o incluso pasajeros (V2D), con otros vehículos (V2V) para adaptar la velocidad o su posición en tiempo real; e incluso con otras redes (V2N) para intercambiar información con sistemas de información localizados en la nube.
Futuro de las ciberamenazas a los vehículos
Desde los propios fabricantes —incluso desde la propia Comisión Europea— ya se viene trabajando en cómo afrontar las amenazas a estos modelos de interconexión con soluciones internas —sistemas embarcados o empotrados— que aíslen los sistemas críticos para reducir el efecto de los ciberatacantes. También con servicios desplegados en la nube que limiten las posibles alteraciones de los canales de comunicación o de la información que fluya por ellos. Se trata de medidas que incluirán, entre otras, los servicios de monitorización de dispositivos conectados (IoT), la segmentación segura de redes de comunicaciones —en particular las que afectan al bus CAN que establece las transmisiones de mensajes entre los diferentes componentes electrónicos del automóvil—, el cifrado y la firma de actualizaciones del firmware de las ECU o la asunción de prácticas de diseño seguro de software por defecto.
Algunas voces se están elevando en este contexto para que la ciberseguridad de los vehículos también responda a prácticas estandarizadas. Prácticas que puedan certificarse a través de pruebas y auditorías y que permitan determinar el nivel de riesgo de los vehículos conectados para así poder establecer patrones de calidad tanto en el hardware como en el firmware o en las aplicaciones que instalan o acceden. Similar a las pruebas de seguridad física que se aplican actualmente.
Se trata de una necesidad imperiosa y más aún con la inminente llegada del 5G que hará de la conectividad un elemento primario. En España, por ejemplo, ya se están impulsando algunas iniciativas que ponen al fabricante ante la tesitura de someter sus nuevos modelos a pruebas de ciberseguridad externas más allá de los tradicionales hackathon y propuestas de bounty (recompensas) que utilizan para evaluar la seguridad de sus automóviles y que por cierto recientemente mostraron las vulnerabilidades de algunos de los más modernos modelos del mercado.
El camino que queda por recorrer es largo, y la tecnología no deja de impulsarnos a seguirlo. Ahora está por ver si somos capaces de hacerlo no solo por comodidad sino también por seguridad vial.