Desde Ford a Ferrari, la mayoría de marcas de automóviles están sufriendo Bugs de ciberseguridad
La práctica totalidad de los fabricantes de coches, desde Aston Martin hasta Toyota, están plagados de vulnerabilidades de seguridad dentro de sus vehículos que podrían permitir a los piratas informáticos acceder a información de identificación personal (PII), bloquear a los propietarios fuera de sus vehículos e incluso asumir funciones como encender y apagar el motor del vehículo. De hecho, esto último ya ha sucedido en diversos Tesla, la compañía del multimillonario, Elon Musk.
Según un equipo de siete investigadores de seguridad, cuyos esfuerzos se detallaron en el blog del especialista en seguridad de aplicaciones web Sam Curry , las vulnerabilidades en las aplicaciones y sistemas internos de los fabricantes de automóviles les permitieron, en un truco de prueba de concepto, enviar comandos usando solo el VIN (identificación del vehículo). número), que se puede ver a través del parabrisas fuera del automóvil.
En total, el equipo descubrió serios problemas de seguridad de fabricantes de automóviles como BMW, Ferrari, Ford, Volvo y muchos otros, en Europa, Asia y Estados Unidos. También encontró problemas en proveedores y empresas de telemática, incluida Spireon, que desarrolla soluciones de seguimiento de vehículos basadas en GPS.
Un portavoz de BMW Group le dijo a Dark Reading que la IT y la seguridad de los datos tienen la «prioridad más alta» para la empresa y que está monitoreando continuamente el panorama de su sistema en busca de posibles vulnerabilidades o amenazas de seguridad.
El portavoz agregó que la vulnerabilidad mencionada en el informe se conoce desde principios de noviembre y ha sido procesada de acuerdo con los «procedimientos operativos estándar de seguridad» de BMW, por ejemplo, su programa de recompensas por errores.
«Los problemas de vulnerabilidad abordados relevantes se cerraron en 24 horas y no tenemos indicios de fugas de datos», dice el portavoz. «Ningún sistema de IT relacionado con el vehículo se vio afectado ni comprometido. Ningún cliente de BMW Group o cuentas de empleados se vieron comprometidas».
Esta es solo la última preocupación de seguridad que ha salido a la luz. En marzo, la telemetría de la empresa de seguridad de sistemas industriales Dragos detectó servidores de comando y control de Emotet que se comunicaban con varios sistemas de fabricantes de automóviles . El malware se usa comúnmente como un vector de infección inicial para lanzar ransomware.
En diciembre, se descubrió que al menos tres aplicaciones móviles diseñadas para permitir a los conductores encender o desbloquear sus vehículos de forma remota tenían vulnerabilidades de seguridad que podrían permitir que tipos maliciosos no autenticados hicieran lo mismo desde lejos. De esto, ya hablamos en un anterior artículo que tuvo mucho éxito:
Los fabricantes de automóviles tardan en reconocer la creciente amenaza
A pesar de que las vulnerabilidades de seguridad han sido un problema en la industria durante algún tiempo (desde el infame hackeo del Jeep 2015 de Charlie Miller y Chris Valasek detallado en Black Hat USA), los fabricantes de automóviles han tardado en reconocer la gravedad potencial de los desarrollos, dice Gartner automotriz. analista de la industria Pedro Pacheco.
Él explica, que a medida que los fabricantes de automóviles hacen la transición para convertirse en desarrolladores de software, luchan por abordar todos los puntos de ese ciclo de desarrollo, incluida la seguridad.
«Una noción muy simple es que si no eres bueno con el software, probablemente no serás muy bueno para hacer que ese software sea seguro», dice. «Eso está garantizado».
Desde su perspectiva, los fabricantes de automóviles también son demasiado complacientes cuando se trata de abordar y reparar las vulnerabilidades de seguridad de inmediato.
«Los fabricantes de automóviles ven esto de una manera más reactiva que proactiva, básicamente diciendo que abordaremos la pequeña cantidad de clientes afectados y resolveremos el problema y luego todo volverá a la normalidad», dice. «Esa es la forma de pensar de muchos fabricantes de automóviles». Y claro, así les va. Pues no paran de sufrir un ataque, tras otro:
“Esta es la razón por la cual la ciberseguridad se convertirá cada vez más en un problema apremiante”, dice. «Cuanto más se haga cargo el vehículo de la conducción, entonces, por supuesto, más posibilidades hay de que esto se pueda usar contra el cliente y contra el fabricante de automóviles. Todavía no ha sucedido, pero muy bien podría suceder en el futuro».
A medida que los fabricantes de automóviles desarrollan ecosistemas más complejos que conectan a los clientes con las tiendas de aplicaciones y los conectan con sus teléfonos inteligentes y otros dispositivos conectados, aumentan los ataques y amenazas.
John Bambenek, principal cazador de amenazas de Netenrich, agrega que otro problema es que, a medida que la tecnología evoluciona, los fabricantes de automóviles la implementan en sus vehículos antes de que la tecnología sea verdaderamente examinada.
«Las aplicaciones web tienen sus propias preocupaciones de seguridad distintas de esa ruta de comunicación», explica. «No tengo que ser el dueño de toda la pila de comunicación. Solo necesito encontrar un punto débil y los investigadores continúan encontrándolo. La realidad es que todo está armado con cinta adhesiva y alambre de seguridad defectuosos, siempre lo ha sido».
Señala que cuantas más cosas se ponen en línea, más oportunidades da a los delincuentes.
La Regulación aumentará la seguridad en la automoción
Sin embargo, la ayuda está en camino. Pacheco señala la adopción de la Regulación de la ONU No. 155, enfocada en estándares obligatorios para la ciberseguridad automotriz, que entró en vigor en julio y se aplicará en Japón y Corea del Sur; un total de 60 países finalmente aplicarán esta regulación.
“Este es un nuevo amanecer para la ciberseguridad en la industria automotriz, porque a partir de este momento, la ciberseguridad en el vehículo se convierte en un requisito legal”, señala. «Esta es la razón por la que muchos fabricantes de automóviles ya han gastado una cantidad considerable de dinero y tiempo en la creación de nuevos sistemas de gestión de ciberseguridad de acuerdo con esta regulación».
Explica que según la regulación, cada tres años, el sistema de gestión de ciberseguridad del fabricante de automóviles de un vehículo en particular deberá ser auditado por las autoridades para evaluar si cumple con la regulación o no.
“Ahora comenzaremos a ver muchas más cosas que suceden en ciberseguridad que en el pasado, porque hasta 2022 era un poco más informal”, dice.
Aconseja a los fabricantes de automóviles que no esperen a revisar su seguridad cada tres años, sino que actualicen y mejoren gradualmente su software de seguridad.
“Necesitan seguir subiendo el listón en términos del rendimiento de su sistema de gestión de ciberseguridad”, dice Pacheco. «Esto significa agregar la mejor tecnología de seguridad cibernética en términos de hardware y software al vehículo y ejecutar un centro de operaciones de seguridad de vehículos avanzado».
Los fabricantes de automóviles deben cambiar su enfoque
Pacheco explica que la industria está llegando a un punto de inflexión en lo que respecta a la seguridad cibernética, pero que mejorar la seguridad automotriz requerirá un cambio cultural.
«Al final, siempre comienza con una mentalidad, lo que significa que cuando tienes una cierta amenaza, primero debes percibirla como una amenaza», dice. «Esto es lo que tienen que empezar haciendo».
Esto podría incluir acciones tan simples como realizar una competencia entre hackers de guante blanco para buscar cualquier vulnerabilidad que puedan encontrar en este vehículo.
«Sobre todo, los fabricantes de automóviles deben estar muy abiertos a abordar [estas] vulnerabilidades y problemas de ciberseguridad», dice Pacheco. «Desafortunadamente, lo que sucede es que varios fabricantes de automóviles tienen la cultura de ocultar estos problemas».
Advierte que la industria se está acercando a un punto en el que los fabricantes de automóviles tienen cada vez menos margen de maniobra para esperar a que ocurran los problemas.
“Si no toman medidas considerables para mejorar la ciberseguridad, les hará mucho daño en el futuro”, dice.
