Necesidades de seguridad en el desarrollo tecnológico automotriz

p-09En la actualidad hay dos grandes vertientes en el desarrollo tecnológico automotriz, los cuales se enfocan a vehículos conectados y a vehículos autónomos, con grandes inversiones económicas en ambos casos que incrementan la realización de investigaciones e innovaciones. Por un lado, los primeros son vehículos que están equipados principalmente con acceso a internet, así como comunicaciones con otros dispositivos o elementos dentro o fuera del mismo, estableciendo canales de comunicación con otros vehículos, infraestructura, peatón y nube [1]. Este tipo de vehículos surge como un requerimiento de la sociedad tecnológica cuya vida está basada en comunicaciones digitales en todos los ámbitos, mejorando la comodidad del usuario. Por otro lado, los segundos son vehículos que se conducen solos, los cuales son capaces de sensar su ambiente y navegar sin interacción humana directa.

Estos desarrollos han llevado a un grupo de compañías a mantenerse activamente en proveer sus propios vehículos. Para el caso de vehículos conectados, la mayoría de fabricantes automotrices son los que están dirigiendo esfuerzos en investigación y desarrollo tecnológicos, encontrando entre los principales líderes fabricantes de esta tecnología a General Motors, BMW, Audi y Mercedes Benz, sin menospreciar los esfuerzos de las demás empresas. Para el caso de vehículos autónomos, el desarrollo se ha hecho en tres grandes grupos: 1) compañías, tales como Waymo, nuTonomy, Intel, Nvidia, Bosche, Drive.ai, Yandex, Apple o Baidu, desarrollando sus plataformas para comercializarla con terceros, 2) compañías fuera del sector automotriz como Tesla, Uber y Lyft que están redefiniendo su negocio y manteniéndose como líderes en el ámbito en cuestión, y 3) compañías automotrices como Daimler Chrysler o General Motors que comprenden que gran parte del mercado futuro no será vender vehículos a clientes individuales sino a flotas operativas.

Las ventajas que tienen los vehículos conectados y los vehículos autónomos son contrastadas potencialmente por los riesgos de seguridad, debido a que los sistemas que proporcionan las características descritas requieren de microcomputadoras conectadas a las redes de comunicación, lo que no sucede con la mayoría de los vehículos que se comercializan en la actualidad, ya que estos integran decenas y centenas de computadoras, pero que no están conectadas y para tener acceso a éstas se conectan dispositivos al puerto OBD-II. Varias partes de estos vehículos no conectados como el acelerador o la palanca de direccionales son diseñadas para un control mecánico, aunque son operadas por microprocesadores enlazados en la red interna del vehículo, ellos no son preocupación de los fabricantes de automóviles porque han sido entidades aisladas y autónomas. Esta visión cambia cuando los vehículos implementan computadoras conectadas con el exterior y se vislumbran varios problemas de seguridad, lo que puede llegar a afectar a personas o empresas, dependiendo de los datos o información que esté expuesta.

El vehículo como una estación de trabajo o extensión de los hogares con acceso a internet incrementará su popularidad y más aún si se reemplaza la conducción manual por la conducción autónoma. Actualmente, hay muy pocos vehículos que tienen puntos de acceso Wi-Fi e interfaces con Apple iOS CarPlay y Google Android Auto que hacen que los vehículos se empiecen a operar como una interfaz humano-computadora similar a los teléfonos inteligentes o tabletas, pero aún no como la visión de un completo vehículo conectado. Ya sean estos vehículos o los conectados o los autónomos, se tienen las mismas preocupaciones de seguridad que se tienen con los dispositivos móviles en que terceros se conecten o los controlen sin acceso autorizado o sin conocimiento de ello. Esto puede llevar a que un atacante o hacker pueda comprometer mediante el cierre de puertas o apagado de motor de un vehículo de una empresa de logística, entonces se estarían generando resultados desastrosos para esa empresa y para las empresas clientes que dependen de ese vehículo.

Hay varios casos reales con problemas de seguridad que se han dado con los vehículos conectados y autónomos como es el de un fabricante de automóviles y el de una aerolínea. En el primer caso, dos hackers profesionales demostraron en 2015 que los sistemas de seguridad electrónica y el de comunicaciones de Jeep eran vulnerables, tomando control de los limpiaparabrisas, torrente de líquido de limpieza y apagado del motor de manera remota mientras era conducido. En el caso de las aerolíneas, un investigador de seguridad en el mismo año utilizó un sistema de entretenimiento en vuelo para acceder a computadoras de control de vuelo y modificar el comportamiento del avión de United Airlines, lo que fue posible porque no existía un control suficiente entre las redes que mantienen las funciones críticas y las redes que dan servicios adicionales, dando acceso a esa conectividad ubicua e irrestricta para crear riesgos de seguridad.

En específico, hay problemas debido a que las especificaciones OBD-II y EOBD trabajan en un esquema de cajas negras que los fabricantes no pueden evaluar totalmente, ni se proporcionan requerimientos de seguridad, dejando gran cantidad de vías para exposiciones a ataques. De esta manera, hay problemas serios de seguridad con la electrónica de los vehículos con respecto a las Unidades de Control Electrónico (ECUs) y a los Sistemas Avanzados de Asistencia a la Conducción (ADAS), ya que ellos se comunican con el control de encendido, transmisión, frenado, suspensión, entre muchos otros [2]. En promedio, un vehículo tiene alrededor de 80 ECUs, los cuales se llegan a actualizar usando patches, haciendo a los sistemas más vulnerables debido a las débiles evaluaciones de seguridad. Los problemas de las ECUs se enfocan a ataques de puerta frontal, ataques de puerta trasera y uso de exploits, aprovechando los mecanismos de acceso del Fabricante de Equipo Original (OEM), aplicando técnicas de hackeo de hardware/software tanto tradicional como avanzadas, atacando a sensores/accesos al vehículo, así como descubriendo mecanismos de acceso no intencionales. En este sentido hay una gran cantidad de ataques a los vehículos, por ejemplo, se debe proteger el GPS de los spoofers, de tal manera que se tenga una navegación autónoma segura, ya que los sistemas de navegación convencionales de GPS son vulnerables a ataques de falsificación.

Los ataques que se esperan son diversos, generando problemas en los sistemas de comunicación y computadoras para el control, automatización y autonomía. Se vislumbran ataques en que los cibercriminales puedan seguir a alguien una vez que se haya hackeado un vehículo, secuestrar un vehículo sin ocupantes o con ellos, infectar/cifrar los componentes de software o datos del vehículo (extorsión al propietario) o vender los datos a otros criminales.

El INAOE cuenta con un grupo de investigación en seguridad que tiene en cuenta estos problemas y reconoce como una prioridad la investigación en el área de ciberseguridad automotriz, considerando que se deben crear y evaluar protocolos, esquemas, algoritmos y teoría referente a seguridad conforme a sistemas embebidos, prototipos en FPGA, CUDA y computadoras a bordo, criptografía, esteganografía, entre otros temas, publicándose artículos científicos, desarrollos tecnológicos y patentes.

 

 

Referencias

 

[1] Ivanov I., Lee S-W., Watson T., Maple C.:”Cyber Security Standards and Issues in V2X Communications”, International Journal Of Electrical, Electronics And Data Communication, Vol. 5, No. 4, pp:11-16, abril 2017.

 

[2] Mundhenk P.: “Security for Automotive Electrical/Electronic (E/E) Architectures”, Tesis de doctorado, Technische Universität München, junio 2017.

 

 

 

 

* algredobadillo@inaoep.mx