Jairo Alonso_S21sec
Jairo Alonso Área de ICS S21sec

Los coches autónomos, un reto más para la ciberseguridad

coches autónomos_ciberseguridad

El coche autónomo está cada vez más cerca de convertirse en una realidad para todos nosotros. Es más, el Reino Unido acaba de confirmar que permitirá que circulen por sus carreteras este mismo año. Pero si somos realistas, queda bastante tiempo para contemplar la posibilidad de que estos sustituyan a los vehículos actuales. Todavía no existe la tecnología necesaria para que un vehículo circule por sí solo, y el sector automovilístico ha anticipado que la llegada de los coches autónomos de nivel cinco no ocurrirá antes de 2030.

Por tanto, hay preguntas que esperan todavía respuesta. Muchas de ellas, en el terreno de la ciberseguridad. El desarrollo de vehículos cada vez más autónomos y conectados requiere un mayor nivel de funcionalidad computacional y conectividad, y esto amplía tanto la superficie de ataque como la probabilidad de ataques físicos y cibernéticos. Cualquier objeto conectado resulta vulnerable, y el coche autónomo es muy cómodo para el conductor, pero está muy conectado a la Red.

Ante este panorama, no resulta impensable, sino todo lo contrario, que un ciberdelincuente pueda sentir la tentación de tomar el control del hardware o software del coche o manipule los frenos o el motor. Unos hechos que suponen un peligro para el conductor, los ocupantes y el resto de vehículos que circulen por carretera. Incluso la opción del secuestro también existe: el atacante puede manipular el vehículo para bloquearlo e impedir su uso si no se paga un rescate, o cometer un robo.

Un tercer aspecto a tener en cuenta sería el robo de datos. El uso de la tecnología en los coches autónomos presenta importantes retos en materia de privacidad, ya que estos coches pasarían a tener acceso a la información personal del propietario o pasajeros del vehículo: gran cantidad de datos personales, la localización (itinerarios que siguen o lugares que frecuentan, lo que permite hacer perfiles acerca del uso que damos al vehículo), información sobre los medios de pago asociados al vehículo o conocer el estado de fatiga del conductor. La complejidad y conectividad que involucra todos estos procesos convierte a los coches autónomos en un blanco vulnerable para el cibercrimen.

Requisitos de seguridad de los coches autónomos

En el proceso de desarrollo de un coche autónomo, los fabricantes deben prestar muchísima atención a los aspectos funcionales. Pero también resulta imprescindible que los fabricantes aseguren que estos cumplan con los estándares y requisitos de seguridad.

Varias organizaciones de todo el mundo crearon la norma ISO/SAE 21434 Road Vehicles – Cybersecurity Engineering, basada en un conjunto de directrices que aseguraban procesos de alto nivel en las fases de fabricación, diseño, mantenimiento y fin de la vida útil de los vehículos. Esta norma, además, define todos los procesos de ciberseguridad de cada fase de desarrollo con el objetivo de cumplir los requisitos de nivel de seguridad.

En este sentido, la Unión Europea impondrá por ley que todos los coches autónomos que se fabriquen deberán cumplir con esta norma. De no contar con un certificado de ciberseguridad, el vehículo no será homologado para venderse en Europa.

No obstante, auguramos un proceso lento. Este certificado no puede emitirlo cualquiera, pero la ciberseguridad tiene los recursos para identificar y solventar los posibles problemas. Para ello, los fabricantes deben imponer el certificado de ciberseguridad como requisito obligatorio y garantizar que el sector automovilístico y el de la ciberseguridad trabajen de la mano.

Pero existe una gran falta de conocimiento entre los desarrolladores de sistemas para vehículos y es muy importante crear una cultura de ciberseguridad en la industria de la automoción para que el sector automovilístico esté preparado e informado. Además, todas las cadenas de suministro deberían establecer una política de ciberseguridad para monitorizar posibles amenazas y riesgos, y que haya estándares obligatorios con el fin de informar sobre ciberataques.