Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Conducción autónoma y Ciberseguridad

En pocos años, la circulación de los vehículos cambiará radicalmente por la conducción autónoma. La conducción será aburrida pero, a cambio, ganaremos en seguridad, al menos, en teoría. 

La conducción autónoma exige, necesariamente, la conexión de los vehículos a Internet, así como la instalación de soluciones de posicionamiento por satélite (GNSS) y sistemas avanzados de asistencia a la conducción (ADAS). Al mismo tiempo, resulta indispensable tener un software de posicionamiento para calcular la posición de los vehículos y avanzados algoritmos para organizar el tráfico. 

La conexión de cualquier dispositivo a Internet, sin medidas de seguridad, conlleva ciertos riesgos, y los vehículos no son una excepción. En el año 2015, dos investigadores de seguridad automotriz (Charlie Miller y Chris Valasek) manipularon, de forma remota, un vehículo conectado a Internet, mostrando diversas vulnerabilidades de seguridad, hasta tal punto que hicieron perder el control del vehículo a su conductor*.  

En la actualidad, los vehículos han pasado de estar formados por elementos mecánicos e hidráulicos a estar formados por elementos eléctricos y electrónicos, los cuales pueden ser utilizados como nuevos vectores de ataque en el ecosistema de la movilidad conectada y automatizada. Los atacantes pueden comprometer los datos personales del usuario, amenazar los sistemas de seguridad de los vehículos y poner en riesgos a sus pasajeros y a otros ocupantes de la vía; por ello, es indispensable contrarrestar los riesgos con medidas de control efectivo.

La Administración Nacional de Seguridad del Tráfico en las Carreteras (NHTSA, por sus siglas en inglés, National Highway Traffic Safety Administration) que depende del gobierno de los Estados Unidos, una de las más importantes en materia de seguridad vial a nivel internacional, propone un enfoque por capas para la ciberseguridad de los vehículos**, que incluye:

  1. Un proceso de identificación y protección basado en el riesgo y priorizado para los sistemas de control del vehículo que son críticos para la seguridad.
  2. Detección oportuna y respuesta rápida a posibles incidentes de ciberseguridad en vehículos.
  3. Arquitecturas, métodos y medidas diseñados como parte de las protecciones de ciberseguridad en capas para facilitar la recuperación rápida de incidentes cuando ocurren.
  4. Métodos para el intercambio de inteligencia e información en toda la industria automotriz para facilitar la adopción rápida de las lecciones aprendidas.
  5. Desarrollo de Auto-ISAC, un entorno industrial que enfatiza el conocimiento y la colaboración en la ciberseguridad en toda la industria automotriz.

Conscientes de los problemas de seguridad que pueden tener los vehículos conectados a Internet, la UNECE (Comisión Económica de las Naciones Unidas para Europa) desarrolló la normativa de seguridad UNECE/R155 que entró en vigor el 22 de enero de 2021 y que afecta a coches, furgonetas, autocaravanas, camiones, remolques y autobuses que se homologuen a partir de julio de 2022 y a todos los que se comercialicen desde julio de 2024 en la Unión Europea y en todos los territorios adheridos a dicha normativa (Rusia, Japón, Corea del Sur, Sudáfrica y Australia). La UNECE/R155 no incluye a las motocicletas.

Para obtener el certificado de ciberseguridad, en aplicación de la UNECE/R155, los vehículos se someten a tres tipos de pruebas: de acceso físico, de acceso remoto y de aplicaciones. En las pruebas de acceso físico se comprueba, por ejemplo, si se podrían manipular, a través del puerto OBD del vehículo, los frenos o la dirección; o si a través del puerto USB se puede introducir un virus que pudiera afectar a la seguridad del sistema. En las pruebas de acceso remoto se analizan sistemas inalámbricos como el sistema “keyless” que permite abrir y cerrar el coche sin necesidad de usar la llave o encender el motor. Por último, en las pruebas de aplicaciones se evalúan la vulnerabilidad de las aplicaciones que vienen integradas en el vehículo y las apps oficiales que el usuario puede descargar en su dispositivo móvil, como arrancar el motor de forma remota, bloquear y desbloquear las puertas o activar la climatización antes de llegar al vehículo.

En España solo EUROCYBCAR, con sede en Vitoria-Gasteiz está capacitada para entregar el certificado de “Vehículo Ciberseguro” según la normativa UNECE/R155. 

A nivel internacional, también se están desarrollando distintas iniciativas de normalización sobre la ciberseguridad en vehículos. Una de las más destacables es la iniciativa ISO/IEC JTC 1/SC 27 sobre “Criterios de evaluación de la seguridad de la información de los vehículos conectados basados en la norma ISO/IEC 15408”. En esta iniciativa se estudian los criterios y la metodología de evaluación de las tecnologías de los vehículos y los dispositivos conectados a Internet, se analizan sus amenazas y el objetivo de seguridad, así como la relación entre las características del vehículo conectado y la seguridad de la información y los requisitos de seguridad basados en dichas características. 

En España el coche autónomo echó a rodar en el año 2015. El primer recorrido se realizó el 23 de noviembre de 2015 entre Vigo y Madrid, un recorrido de 600 km, en un Citroën Grand C4 Picasso equipado con sistema de posicionamiento GPS, cámaras digitales, radares y sensores de ultrasonidos. Dichos elementos permiten definir el recorrido y detectar obstáculos, peatones y vehículos, anticipándose a sus movimientos, además de ajustar la conducción a los límites de velocidad según la vía.

La conducción autónoma avanza a pasos agigantados. El Centro Tecnológico de Automoción de Galicia (CTAG) está probando un vehículo sin conductor como eje fundamental del proyecto 5G-MOBIX, con el apoyo de la Dirección General de Tráfico, el Ministerio de Transportes, Movilidad y Agenda Urbana e Infraestructuras de Portugal. Las pruebas, que se desarrollarán a lo largo del año 2022 en el corredor transfronterizo España–Portugal que conecta las ciudades de Vigo y Oporto, servirán para probar la conducción autónoma en entornos interurbanos y urbanos, además de probar maniobras como adelantamientos e incorporación a las vías rápidas.

Veremos que nos depara el futuro, pero lo que está claro es que si pensamos en proteger nuestros dispositivos informáticos, tanto o más importante es proteger los vehículos conectados a la Red, porque está en juego la seguridad de todos. 

Actualización:

La Dirección General de Tráfico advierte que es posible que alguien pueda manipular los frenos de tu coche o arrancarlo sin la llave. Cuanto más sofisticados son los vehículos y más conectados estamos, más probable es que seamos víctimas de los “crakers”.

Fuentes:

* https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

** https://www.nhtsa.gov/es/tecnologia-e-innovacion/la-ciberseguridad-de-los-vehiculos

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).