De Ferrari a Ford, los errores de seguridad cibernética afectan la seguridad del automóvil
Desde Acura hasta Toyota, varios fabricantes de automóviles enfrentan vulnerabilidades de seguridad en sus vehículos que permiten a los piratas informáticos acceder a información de identificación personal (PII), bloquear a los propietarios de sus vehículos e incluso asumir funciones como encender y apagar el motor del vehículo.
Según un equipo de siete investigadores de seguridad cuyos esfuerzos se detallan en una publicación del experto en seguridad de aplicaciones web Sam Curry BlogLas lagunas en las aplicaciones y sistemas internos de los fabricantes de automóviles les permitían enviar comandos usando solo el código VIN (número de identificación del vehículo).
En general, el equipo descubrió serios problemas de seguridad de BMW, Ferrari, Ford, Volvo y muchos otros fabricantes de automóviles en Europa, Asia y Estados Unidos. También encontró problemas en proveedores y empresas de telemática, incluida Spireon, que desarrolla soluciones de seguimiento de vehículos basadas en GPS.
Un portavoz de BMW Group le dijo a Dark Reading que la seguridad de TI y de datos es una “máxima prioridad” para la empresa y que monitorea continuamente el panorama del sistema en busca de posibles vulnerabilidades o amenazas de seguridad.
El portavoz agregó que la vulnerabilidad mencionada en el informe se conoce desde principios de noviembre y se desarrolló de acuerdo con los “procedimientos operativos estándar de seguridad” de BMW, como el programa de recompensa defectuoso.
“Las vulnerabilidades relevantes se cerraron en 24 horas y no tenemos indicios de ninguna violación de datos”, dijo el portavoz. “Ningún sistema de TI relacionado con el vehículo se vio afectado o comprometido. Ninguna cuenta de cliente o empleado de BMW Group se vio comprometida”.
Este es solo el último problema de seguridad que ha salido a la luz. En marzo, la telemetría de la firma de seguridad de sistemas industriales Dragos vio a Emotet comunicándose con servidores de comando y control. sistemas de varios fabricantes de automóviles. El malware se usa típicamente como el vector de infección inicial para eliminar el ransomware.
En diciembre se descubrieron al menos tres aplicaciones móviles que permiten a los conductores arrancar o desbloquear sus vehículos de forma remota. tener vulnerabilidades de seguridad esto podría permitir que el malware no autenticado haga lo mismo de forma remota.
Los fabricantes de automóviles tardan en reconocer la creciente amenaza
Aunque las vulnerabilidades de seguridad han sido un problema en la industria durante algún tiempo (desde Charlie Miller y Chris Valasek. Popular Jeep hack de 2015 Los fabricantes de automóviles han tardado en reconocer la gravedad potencial del desarrollo, dice Pedro Pacheco, analista de la industria automotriz de Gartner.
Explica que a medida que los fabricantes de automóviles se convierten en desarrolladores de software, luchan por abordar todos los aspectos de este ciclo de desarrollo, incluida la seguridad.
“Uno de los conceptos muy simples es que si no eres bueno con el software, probablemente no serás muy bueno haciendo que ese software sea seguro”, dice. “Está garantizado”.
Desde su punto de vista, los fabricantes de automóviles tienen mucha confianza cuando se trata de eliminar y parchear rápidamente las vulnerabilidades de seguridad.
“Los fabricantes de automóviles lo están viendo de manera más reactiva que proactiva, básicamente diciendo que nos comunicaremos con los pocos clientes afectados y solucionaremos el problema y luego todo volverá a la normalidad”. “Esa es la mentalidad de muchos fabricantes de automóviles”.
A medida que los fabricantes de automóviles desarrollan ecosistemas más sofisticados que conectan a los clientes con las tiendas de aplicaciones y los conectan a sus teléfonos inteligentes y otros dispositivos conectados, las apuestas aumentan.
“Es por eso que la seguridad cibernética se está convirtiendo en un problema cada vez más apremiante”, dice. “Cuanto más control toma un vehículo, por supuesto, más posibilidades tiene de ser utilizado contra el cliente y el fabricante de automóviles. Todavía no ha sucedido, pero muy bien podría suceder en el futuro”.
John Bambenek, principal cazador de amenazas de Netenrich, agrega que a medida que se desarrolla la tecnología, los fabricantes de automóviles la implementan en sus vehículos antes de que la tecnología se pruebe realmente.
“Las aplicaciones web tienen sus propios problemas de seguridad a diferencia de esta ruta de comunicación”, explica. “No tengo que tener toda la pila de comunicaciones. Solo tengo que encontrar un punto débil, y los investigadores siguen encontrándolo. La realidad es que todo está conectado por cinta adhesiva y cables de conexión defectuosos, siempre lo ha estado”.
Señala que cuantas más cosas se ponen en línea, más oportunidades se abren para los delincuentes.
“En ese caso, estoy menos preocupado por los ciberdelincuentes y más por los acosadores y los de su calaña”, dice. “Esto abre un nuevo género de acoso digital que puede ser difícil de rastrear y aún más difícil de enjuiciar. Creo que ahí es donde radica el verdadero riesgo”.
Seguridad Vehicular Obligatoria por Reglamento
Sin embargo, la ayuda está en camino. Pacheco apunta a la adopción del Reglamento 155 de la ONU, destinado a estándares obligatorios para la ciberseguridad automotriz, que entró en vigor en julio y se aplicará en Japón y Corea del Sur; un total de 60 países eventualmente implementarán el reglamento.
“Este es un nuevo comienzo para la ciberseguridad en la industria automotriz, porque a partir de este momento, la ciberseguridad en el automóvil se convierte en un requisito legal”, dice. “Esta es la razón por la que muchos fabricantes de automóviles están gastando mucho dinero y tiempo en la construcción de nuevos sistemas de gestión de ciberseguridad para cumplir con esta regla”.
Explica que, como parte de la regulación, cada tres años, el sistema de gestión de ciberseguridad de un fabricante de automóviles determinado debe ser inspeccionado por las autoridades para evaluar si cumple con las regulaciones.
“Ahora vamos a empezar a ver mucho más en seguridad cibernética que en el pasado, porque hasta 2022 era un poco más aleatorio”, dice.
Aconseja a los fabricantes de automóviles que no esperen para revisar su seguridad cada tres años, sino que actualicen y mejoren sus programas de seguridad gradualmente.
“Deben continuar elevando el nivel en términos de rendimiento del sistema de gestión de ciberseguridad”, dijo Pacheco. “Esto significa agregar la mejor tecnología de ciberseguridad en términos de hardware y software al vehículo y operar un centro de operaciones de seguridad de vehículos avanzado”.
Los fabricantes de automóviles deben cambiar su enfoque
Pacheco explica que la industria está llegando a un punto de inflexión en lo que respecta a la ciberseguridad, pero mejorar la seguridad automotriz requerirá un cambio cultural.
“Al final del día, siempre comienza con una mentalidad, que es que cuando surge una determinada amenaza, lo primero que debe hacer es percibirla como una amenaza”, dice. “Debería comenzar haciéndolos”.
Esto podría incluir algo tan simple como realizar un concurso entre hackers de sombrero blanco para buscar cualquier vulnerabilidad que puedan encontrar en este vehículo.
“En primer lugar, los fabricantes de automóviles deberían estar muy abiertos a las solicitudes [these] vulnerabilidades y problemas de ciberseguridad”, dice Pacheco. “Desafortunadamente, varios fabricantes de automóviles tienen la cultura de ocultar estos problemas”.
Advierte que la industria se acerca a un punto en el que los fabricantes de automóviles tienen cada vez menos margen para esperar a que surjan problemas.
“Si no toman medidas significativas para mejorar su ciberseguridad, les perjudicará en el futuro”, dice.
