DEKRA y CESVIMAP, en colaboración con Automotive Security Research Group (ASRG), organizaron el pasado 8 de noviembre en la Universidad de Málaga un evento de Car Hacking. Durante la jornada, diversos expertos en ciberseguridad del automóvil han demostrado la importancia de integrar la ciberseguridad en el diseño de los vehículos modernos
La ciberseguridad en el sector de la automoción se ha convertido en una necesidad en los últimos años, especialmente debido al impacto de la tecnología y la digitalización de la industria. Si un coche no cumple con los mínimos criterios de ciberseguridad puede enfrentarse a múltiples amenazas que no solo afecten a funciones críticas, como los frenos o el sistema de dirección, sino también provocar la filtración de información personal del individuo, repercutiendo esto en el rendimiento del coche y su sistema de seguridad.
Por ello, DEKRA y CESVIMAP han organizado esta sesión de ciberseguridad con demostraciones de técnicas reales de hacking aplicadas a un vehículo proporcionado por CESVIMAP. En el hackathon, realizado en la Universidad de Málaga, expertos en ciberseguridad y asistentes han comprobado de primera mano cómo es posible acceder a los sistemas de los automóviles modernos con los conocimientos y herramientas adecuados, poniendo en práctica sus habilidades a la hora de buscar vulnerabilidades en vehículos.
Rubén Lirio, director de Ciberseguridad en DEKRA, destacó que "la ciberseguridad en la automoción no es una opción, sino una necesidad. En DEKRA estamos comprometidos con elevar los estándares de seguridad de los vehículos en un mundo cada vez más digitalizado. Este tipo de eventos no solo contribuyen a concienciar sobre la importancia de proteger nuestros vehículos, sino también fomentar el desarrollo de conocimientos técnicos esenciales entre los profesionales para anticipar y contrarrestar posibles amenazas".
A través de este tipo de iniciativas se busca visibilizar los retos y desafíos a los que se enfrenta la industria de la automoción. Para DEKRA, es fundamental crear conciencia sobre la ciberseguridad en la movilidad del futuro y, por ello, es de vital importancia conocer las vulnerabilidades de los vehículos actuales y cómo actúan los ciber-atacantes para poder defenderse de estas amenazas. La colaboración con CESVIMAP, referente en investigación automotriz y seguridad, ha sido clave para ofrecer una experiencia enriquecedora.
Enrique Zapico, director del Mobility Lab de CESVIMAP, insistió en que "la ciberseguridad en los vehículos es un aspecto crítico en la actualidad, dado el incremento de la conectividad y la integración de sistemas avanzados en los vehículos. Múltiples interfaces de comunicación -bluetooth, Wi-Fi y otros sistemas de infoentretenimiento- los hacen más vulnerables a diversos tipos de ciberataques (a través del sistema de acceso sin llave, de los servidores que gestionan los datos y las comunicaciones del vehículo, o directamente a la unidad de control del motor, ECU, etc."
CESVIMAP, como centro de innovación de MAPFRE, desempeña un papel fundamental descubriendo estas amenazas. La identificación que realiza respecto a vulnerabilidades y medidas de seguridad contribuye a la seguridad vial, advirtiendo a fabricantes de vehículos, de equipamiento y al resto de usuarios sobre posibles riesgos. Explorar la ciberseguridad de los vehículos, fortalece la confianza de los consumidores en las tecnologías emergentes, asegurando que los avances tecnológicos se implementen de manera segura y efectiva, permitiendo a MAPFRE ofrecer coberturas específicas basadas en sus investigaciones.
En un mundo cada vez más digitalizado, identificar y corregir posibles vulnerabilidades es crucial. Durante el evento, ha quedado demostrado que es más que posible comprometer la seguridad de los vehículos a través de múltiples superficies de ataque. Comenzando por las interfaces inalámbricas abiertas, se han realizado ataques al Key Fob utilizando técnicas de Replay Attack, lo que ha permitido abrir las puertas y el maletero del vehículo mediante un SDR. Asimismo, a través del Bluetooth se han realizado inyecciones de Keystroke no autenticadas en el sistema de infoentretenimiento, desactivando sistemas críticos como los ADAS.
En un segundo nivel, se han analizado las interfaces cableadas abiertas (OBD, USB, sdcard, etc), accediendo a sistemas de depuración como ADB para ejecutar shells, establecer persistencia y escalar privilegios. También se han llevado a cabo tareas de Ingeniería Inversa sobre aplicaciones propietarias del sistema de infoentretenimiento.
Finalmente, en las interfaces cableadas cerradas, se han analizado las ECUs y los diferentes buses internos del vehículo, como Body Network, Chassis Network y Power Train Network. Mediante el uso de Manuales de Servicio y un multímetro, se han identificado líneas CAN accesibles desde el exterior del vehículo y se han realizado algunas inyecciones.
Estas actividades resaltan la necesidad de reforzar la seguridad en todas las capas de un vehículo conectado, tanto en sus interfaces físicas como en las inalámbricas, para mitigar posibles riesgos de ciberataques. Por ello, los expertos en ciberseguridad destacan la importancia de integrar las pruebas de penetración dentro del ciclo de desarrollo de los vehículos, ofreciendo una formación sólida sobre la protección de sistemas vehiculares contra ciberataques, y por parte de los fabricantes, implementar actualizaciones periódicas de software, y mecanismos de cifrado en las comunicaciones del vehículo. Estas medidas son fundamentales para proteger la información sensible frente a accesos no autorizados. Conseguir un futuro más ciberseguro es responsabilidad de todos.
Acerca de DEKRA DEKRA se fundó en 1925 para garantizar la seguridad vial mediante la inspección de vehículos. Hoy en día, con un alcance mucho más amplio, DEKRA es la mayor organización experta independiente no cotizada del mundo en el sector de los ensayos, la inspección y la certificación. Como proveedor global de servicios y soluciones integrales, ayudan a sus clientes a mejorar sus resultados en materia de seguridad, protección y sostenibilidad. En 2023, DEKRA generó unas ventas totales de casi 4.101 millones de euros. La empresa emplea actualmente a casi 50.000 personas que ofrecen servicios de expertos cualificados e independientes en aproximadamente 60 países de los cinco continentes. Con una calificación de platino de EcoVadis, DEKRA se encuentra ahora en el uno por ciento superior de las empresas sostenibles clasificadas.
Acerca de CESVIMAP CESVIMAP, Centro de I+D de MAPFRE, pertenece al modelo de innovación "MAPFRE Open Innovation (MOI)". Como fábrica de conocimiento, enfoca su investigación tecnológica en la disminución de la tasa de accidentes, definir procesos de reparación más eficientes, reduciendo su coste, y contribuir a mejorar los resultados de la posventa.
Creado en 1983, desarrolla propuestas de valor para fabricantes de vehículos, talleres, peritos, compañías de seguros, proveedores de soluciones de movilidad y empresas de posventa, integrando la sostenibilidad en su actividad. Como grupo, ha creado otros centros con filosofía CESVI en el mundo: Argentina, Colombia, Francia y México.
Fuente Comunicae