La ciberseguridad en el sector de la automoción se ha convertido en una necesidad en los últimos años, especialmente debido al impacto de la tecnología y la digitalización de la industria. Si un coche no cumple con los mínimos criterios de ciberseguridad, puede enfrentarse a múltiples amenazas. No solo afecten a funciones críticas, como los frenos o el sistema de dirección, sino también provocar la filtración de información personal del individuo, repercutiendo esto en el rendimiento del coche y su sistema de seguridad.
Por ello, CESVIMAP y DEKRA han organizado una sesión de ciberseguridad con demostraciones de técnicas reales de hacking aplicadas a un vehículo proporcionado por CESVIMAP.
En el hackathon, realizado en la Universidad de Málaga, expertos en ciberseguridad y asistentes han comprobado de primera mano cómo es posible acceder a los sistemas de los automóviles modernos con los conocimientos y herramientas adecuados. Poniendo en práctica sus habilidades a la hora de buscar vulnerabilidades en vehículos.
Rubén Lirio, director de Ciberseguridad en DEKRA, destacó durante la jornada que “la ciberseguridad en la automoción no es una opción, sino una necesidad. En DEKRA estamos comprometidos con elevar los estándares de seguridad de los vehículos en un mundo cada vez más digitalizado. Este tipo de eventos no solo contribuyen a concienciar sobre la importancia de proteger nuestros vehículos, sino también fomentar el desarrollo de conocimientos técnicos esenciales entre los profesionales para anticipar y contrarrestar posibles amenazas”.
A través de este tipo de iniciativas se busca visibilizar los retos y desafíos a los que se enfrenta la industria de la automoción.
Para DEKRA, es fundamental crear conciencia sobre la ciberseguridad en la movilidad del futuro y, por ello, es de vital importancia conocer las vulnerabilidades de los vehículos actuales y cómo actúan los ciberatacantes para poder defendernos de estas amenazas. La colaboración con CESVIMAP, referente en investigación automotriz y seguridad, ha sido clave para ofrecer una experiencia enriquecedora.
Enrique Zapico, director del Mobility Lab de CESVIMAP, insistió ante la audiencia en que “la ciberseguridad en los vehículos es un aspecto crítico en la actualidad, dado el incremento de la conectividad y la integración de sistemas avanzados en los vehículos. Múltiples tecnologías de comunicación -bluetooth, Wi-Fi y otros sistemas de infoentretenimiento- los hacen más vulnerables a diversos tipos de ciberataques (a través del sistema de acceso sin llave, de los servidores que gestionan los datos y las comunicaciones del vehículo, o directamente a la unidad de control del motor, ECU…”.
CESVIMAP, como centro de innovación de MAPFRE, desempeña un papel fundamental descubriendo estas amenazas. La identificación que realiza respecto a vulnerabilidades y medidas de seguridad contribuye a la seguridad vial. Así, advirtiendo a fabricantes de vehículos, de equipamiento y al resto de usuarios sobre posibles riesgos. Explorar la ciberseguridad de los vehículos fortalece la confianza de los consumidores en las tecnologías emergentes, asegurando que los avances tecnológicos se implementen de manera segura y efectiva, permitiendo a MAPFRE ofrecer coberturas específicas basadas en sus investigaciones.
Una movilidad digitalizada
En una movilidad cada vez más digitalizada, identificar y corregir posibles vulnerabilidades es crucial. Durante el evento, ha quedado demostrado que es posible comprometer la seguridad de los vehículos a través de múltiples superficies de ataque.
Acceso al vehículo
Comenzando por las interfaces inalámbricas abiertas, se han realizado ataques al Key Fob utilizando técnicas de Replay Attack, lo que ha permitido abrir las puertas y el maletero del vehículo mediante un SDR. A través del Bluetooth se han realizado inyecciones de Keystroke no autenticadas en el sistema de infoentretenimiento. Desactivando sistemas críticos, como los sistemas avanzados de ayuda a la conducción (ADAS, por sus siglas en inglés).
Técnicas de ingeniería inversa
En un segundo nivel, se han analizado las interfaces las interfaces cableadas abiertas (OBD, USB, SDcard, etc.), accediendo a sistemas de depuración como ADB para ejecutar shells, establecer persistencia y escalar privilegios. También se han llevado a cabo tareas de Ingeniería Inversa sobre aplicaciones propietarias del sistema de infoentretenimiento.
Identificación de líneas CAN accesibles
Finalmente, en las interfaces cableadas cerradas se han analizado las ECU y los diferentes buses internos del vehículo, como Body Network, Chassis Network y Power Train Network. Mediante Manuales de Servicio y un multímetro se han identificado líneas CAN accesibles desde el exterior del vehículo y se han realizado algunas intrusiones.
Estas actividades resaltan la necesidad de reforzar la seguridad en todas las capas de un vehículo conectado. Tanto en sus interfaces físicas como en las inalámbricas, para mitigar posibles riesgos de ciberataques. Por ello, los expertos en ciberseguridad destacan la importancia de integrar las pruebas de penetración dentro del ciclo de desarrollo de los vehículos. Ofreciendo una formación sólida sobre la protección de sistemas vehiculares contra ciberataques. Y por parte de los fabricantes, implementar actualizaciones periódicas de software, y mecanismos de cifrado en las comunicaciones del vehículo. Estas medidas son fundamentales para proteger la información sensible frente a accesos no autorizados. Conseguir un futuro más ciberseguro es responsabilidad de todos.
