El trazado de la carretera es regular y la circulación fluida. Tienes conectado el control de crucero y avanzas relajado a la velocidad límite permitida para la vía. De repente, a trescientos metros de la próxima curva, el coche comienza a acelerar solo. Confundido, tardas dos segundos en reaccionar y pisar el freno para pasar al control manual, tiempo suficiente para que entres en el tramo curvo demasiado rápido, pierdas el control y tengas un accidente que puede resultar mortal.
Esta situación hipotética y extrema podría darse en el caso de que un ciberdelincuente accediese al hardware de un vehículo conectado y, al conocer la ubicación del coche mediante GPS, modificase la velocidad establecida por el control de crucero justo antes de una curva, dejándole sin tiempo para reaccionar, asegura Rafael García, CTO de la compañía de seguridad informática Hack By Security.
El desembarco de los dispositivos conectados al mundo del motor conlleva un nuevo reto en la seguridad de los coches: si hay conexión a internet hay riesgo de ciberataque. Esto, a día de hoy, está bien resuelto por los sistemas operativos que las principales marcas incluyen en sus coches, según explican los fabricantes consultados por Xataka. Pero el verdadero problema aparece conforme pasa el tiempo, ya que la vida útil de cada versión de un software principal suele ser de 12 o 13 años y la de los coches se puede prolongar, en circunstancias normales, más de 15.
“Una compañía de automóviles podría vender una docena de vehículos diferentes con sistemas operativos diferentes cada año. Incluso suponiendo que el software se actualice sólo cada dos años y que la compañía respalde los vehículos por sólo dos décadas, necesitaría mantener la capacidad de actualizar de 20 a 30 versiones diferentes de software”, explica el gurú en seguridad informática Bruce Schneier en su libro Click Here To Kill Everybody: Security and Survival in a Hyper-connected World.
“Económicamente no es sostenible mantener tanto tiempo esas actualizaciones”, señala García, quien apunta que otra posible solución, hacer que las diferentes versiones de los sistemas operativos se actualicen cada 4 o 5 años, puede ser viable para algunas partes del software, pero no para las más críticas.
Y cuando un sistema operativo deja de actualizarse, con el tiempo aparecen vulnerabilidades que lo dejan expuesto y allanan el camino a los ciberdelincuentes. Así ocurrió con el ataque del ransomware WannaCry que sacudió el mundo en 2017: aunque afectó a otros softwares principales, muchos de los ordenadores infectados aún usaban Windows XP, que llevaba tres años sin actualizarse y, por lo tanto, era más vulnerable que otros más recientes que habían sido correctamente parcheados.
Las marcas de coches se preparan
Los fabricantes de vehículos son conscientes de estos retos de ciberseguridad y, según han explicado a Xataka, se están preparando para afrontarlos. “Una de las diferencias más importantes entre los productos digitales y los coches es la vida útil de cada producto. Nuestro sistema operativo estará diseñado para formar parte de ciclos de largo plazo propios de los vehículos. Por ejemplo, tendrán un núcleo sólido y sostenible cuyas funcionalidades se actualizarán a lo largo de los años”, señalan desde el Grupo Volkswagen.
El fabricante alemán anunció en 2019 la creación de una nueva unidad de software con el objetivo de desarrollar un sistema operativo, el vw.os, y una nube, Volkswagen Automotive Cloud, propios. La meta última de esta iniciativa es unificar el software de sus vehículos y controlarlo de forma interna, ya que en la actualidad cuentan con hasta 200 proveedores externos de herramientas digitales diferentes.
“El software tendrá así un coste de desarrollo en una única ocasión y costes de mantenimiento menores, por lo tanto, será más eficiente a medida que se use más veces. Esa es nuestra estrategia, con la que tendremos más de 10 millones de coches conectados anualmente a partir de 2025”, continúan desde Volkswagen.
Y especifican que todos sus modelos conectados “tendrán sus actualizaciones cuando sea necesario mientras la línea del modelo continúe en el mercado”, aunque no aclaran qué pasará cuando dejen de venderla.
Hyundai, por su parte, ha informado a Xataka de que su compromiso es mantener las actualizaciones mientras el modelo esté en el mercado y proporcionar diez adicionales a partir del momento en el que cese la producción del vehículo.
“Nuestros equipos están cubiertos por el programa MapCare, que proporciona al menos una actualización anual del software y el mapa, y al menos diez actualizaciones adicionales desde que el equipo deja de estar en producción. Y está previsto que próximamente proporcionemos dos actualizaciones al año”, explica Juan Pedro García, Technical Manager del fabricante surcoreano en España.
Renault y Peugeot también han sido consultadas a este respecto, pero este medio no ha obtenido respuesta de ninguno de los fabricantes franceses.
No obstante, ninguna de las marcas ha señalado qué podría pasar con los coches que sobrevivan a la última actualización prevista. Tanto para asuntos como este como para otros generales de ciberseguridad en el vehículo, Rafael García opina que lo más probable es que acudamos próximamente al desarrollo de una normativa que unifique criterios básicos como el mantenimiento de las actualizaciones de los automóviles conectados por más de 15 años.
Previsible normativa sobre vehículos conectados
El CTO de Hack By Security señala que es previsible que la Unión Europea empiece a trabajar en una legislación comunitaria para establecer unos estándares mínimos de seguridad informática para todos los vehículos que se vendan en los Estados miembros.
“Supongo que sacarán normas básicas que tendrán que cumplir todas las marcas, y que serán aplicables en 5 o 10 años para que los fabricantes puedan planificarlo. Y si no se adaptan no podrán vender coches. Pero todo será paulatino, como con el diésel, porque el sector automovilístico va muy lento y hacer un cambio legislativo de golpe y porrazo puede hundirlo”, explica.
Los fabricantes consultados por Xataka también hablan a largo plazo. Son conscientes de los retos que plantea un parque automovilístico conectado, pero confían en que el ritmo pausado del sector les permita solventar las posibles vulnerabilidades de sus sistemas con garantías.
García también señala que, pese a que estos cambios vayan a ser progresivos, es posible que haya marcas que no puedan hacer frente a estas normativas y tendrán que abandonar los mercados en los que sus coches no cumplan la ley hasta que se puedan adaptar. O centrarse en desarrollar unos pocos modelos y reducir su gama de vehículos.
“Los coches se están convirtiendo, poco a poco, en ordenadores con ruedas. Tienen muchos gadgets y se van a poder conectar con otros vehículos para saber la posición y velocidad a la que van y hacer la circulación más segura. Y quien no se pueda adaptar a eso va a tener problemas, porque en el momento en el que metes un coche que no está conectado en un ecosistema conectado generas inseguridad, porque ese vehículo no es predecible para los demás”, señala.
¿Cómo se llevan a cabo las actualizaciones?
En la actualidad ya son muchos los coches del mercado que usan un sistema operativo para algunas funciones del vehículo, pero el número de automóviles conectados es todavía menor. Por ello, las actualizaciones del software se realizan en las revisiones periódicas de la máquina.
Sin embargo, muchas marcas ya están trabajando en sistemas over-the-air -por el aire-, por los que los vehículos recibirán las actualizaciones en remoto a través de una tarjeta SIM. “La parte positiva de esto es que los sistemas operativos de los coches se actualizarán automática e inmediatamente, pero también puede conducir a importantes problemas de seguridad si no se hace de forma correcta”, explica el CTO de Hack By Security.
¿Cómo podría afectar un ciberataque a un coche?
Si un ciberdelincuente consigue vulnerar la seguridad de un vehículo, podría alterar multitud aspectos como la mecánica o la velocidad del coche. Y, aunque para asuntos clave como la aceleración hay medidas de seguridad manuales por si falla el software, la reacción del conductor puede llegar demasiado tarde.
Las consecuencias de esos ciberataques podrían ser, según señala Rafael García, desde extraviarse porque el GPS dé mal las indicaciones hasta perder el control del vehículo porque ha acelerado o frenado cuando no debía, pasando por una gran cantidad de alteraciones de mayor o menor importancia. Aunque la mayoría, subraya, afectarían a la seguridad en la conducción.
“Con la irrupción del IoT -Internet de las cosas- el ciberdelincuente podría hasta regular algunos aspectos de los asientos del conductor y hacer que maneje el vehículo incómodo. Con eso a lo mejor no se provoca un accidente, pero al no tener una conducción confortable hay más inseguridad”, explica.
Disney+ rebajado de 69,99 euros a 59,99 euros durante un año: oferta limitada hasta el 23 de marzo
Ver 8 comentarios
8 comentarios
allenschezard
De siempre, la mejor forma de mantener un sistema seguro y ahorrar costes es Linux.
Hacer una capa de drivers sólida, un Kernel Linux actualizado, una capa de gestión intermedia y una personalización genérica por generación.
Así solo tienes que hacer solamente una vez los drivers o parches ocasionales, agregar las mejoras de seguridad de Linux sin mucho coste, tocar solo muy ocasionalmente la capa intermedia de gestión y la interfaz solo si quieren meter mejoras.
Así se hace en móviles, y si bien al final solo dan soporte 2 años, tienen unos 30 o 40 modelo nuevo cada año, con cambios muchos más drásticos que los que se viven en automoción.
Esto abaratará el mantenimiento y soporte de los sistemas.
Cualquier otra basura, es meterse en problemas en 4 o 5 años
kawjones
Siguiendo a Schneier, esta claro que que ya no son vehiculos. Son ordenadores con ruedas. Por tanto, los tropecientos mil problemas de los ordenadores agravados por la multiplicidad de suministradores y que el ordenador se mueve a gran velocidad contigo dentro.
Y unificar el desarrollo ya lo vemos en la experiencia de microsoft y su politica de parches. En cuanto tienes 2 o tres productos como sistemas operativos al parchear un sistema puedes comprometer a otros o dejas cojas aplicaciones conexas como el navegador.
Además como para fiarse de VW y de la panda de mafiosos que son (caso emisiones) y serán. Schneier, en el libro que citais lo deja bien clarito: con el software tendrán bien agarrado al cliente que tendrá que ir SI O SI al fabricante y a los precios que ellos IMPONGAN Y HASTA CUANDO ELLOS QUIERAN y cita el caso de los tractores John Deere que están tan "computerizados" que el agricultor no puede hacer ni conectar NADA que no tenga la bula previa de Deere y tienen que recurrir a piratas ucranianos que le pirateen el software de SUS TRACTORES, que han pagado con su dinerito pero a los que John Deere NO DEJA conectar o cambiar especificaciones sino has pasado antes por caja.
retorta
¿Puede el propietario del vehiculo modificar el software?
Puede que haya partes en las que no, debido a que deben cumplir una determinada legislacion, ej limites de velocidad, anticontaminacion, etc.
Pero, ¿Añadir funcionalidades que estaban capadas en el software original? ¿instalar nuevos sistemas que deban comunicarse con el soft original? ¿Instalar repuestos no originales?, ¿Instalar mejoras sobrevenidas sin intervencion de servicio tecnico oficial?
antonio40
Obsolescencia programada en los coches, recibirán parches, y si quieres la última versión completa con las nuevas funcionalidades tendrás que cambiar de coche.
Se van a necesitar miles y miles de informáticos para la industria del automóvil, a ver si la Administración es ágil y forma a más desarrolladores y menos mecánicos.