Ningún coche eléctrico inteligente es seguro y son un objetivo para los ciberdelincuentes

S2 Grupo ha realizado un informe sobre la ciberseguridad en los vehículos inteligentes y los resultados no son nada prometedores. Si pensabas que estos dispositivos estaban a salvo de las acciones de los ciberdelincuentes, la verdad es que estás equivocado.

Los vehículos eléctricos conectados están expuestos a múltiples ciberpeligros y es urgente el desarrollo de soluciones específicas para monitorizar su ciberseguridad. Parecía ficción lo que vimos en Fast & Furious 8 con el personaje de Cipher, pero podría ser más real de lo que pensamos.

Suspenso en ciberseguridad

Según los resultados que el equipo de expertos de S2 Grupo ha realizado, llamado “Ciberseguridad en el vehículo eléctrico conectado”, el aumento de la conectividad y la automatización de los vehículos inteligentes los expone a amenazas cibernéticas cruciales y es necesario la implementación de la ciberseguridad desde la primera fase de su diseño para ciberprotegerlos, algo que no se está teniendo en cuenta en la fase de producción.

Con cada vez más componentes inteligentes e integrados a la red, los automóviles son un nuevo blanco para los ciberdelincuentes. Los riesgos se presentan tanto en la producción, como en la carga y hasta en la circulación; constituyendo una verdadera amenaza para la seguridad informática y física.

“No nos estamos planteando qué pasaría si los sistemas que utilizan estos vehículos fueran vulnerados y esto es esencial en estos momentos. Hasta ahora, la seguridad en los vehículos ha estado centrada en evitar peligros físicos y, sin embargo, debido a la creciente conectividad de los vehículos, especialmente para monitorizar el estado de éstos, junto con la irrupción de las comunicaciones inalámbricas, ya no es necesario el acceso físico para comprometer el sistema”, ha explicado José Rosell, socio-director de S2 Grupo.

Ciberataques en el sector del coche conectado

Las ciberamenazas en este campo pueden dirigirse directamente a los vehículos inteligentes o a otros elementos con los que se relaciona, como pueden ser los semáforos, cargadores, señales o servidores remotos a los que están conectados.

El aumento de ciberataques en este sector se ha visto propiciado, precisamente, por el aumento de la conectividad de sus componentes con el exterior. La superficie de ataque donde pueden intervenir los ciberdelincuentes ha aumentado ya que es posible generar incidentes sobre el propio vehículo eléctrico conectado, así como todos los elementos que tienen relación con él (cargadores, señales, etc.).

A continuación, se recopila un listado de algunos ataques recientes en el ámbito del VEC y de los cargadores eléctricos, que han podido tener un impacto real en el sector.

Ataque a cargadores de vehículos eléctricos en Rusia, marzo de 2022. En este caso, los dispositivos dejaron de funcionar y mostraban mensajes en sus pantallas en defensa de Ucrania contra Vladimir Putin.
Robo de coche a través de ataque de inyección CAN, abril 2022. Los atacantes aprovecharon la interconectividad de las redes del vehículo y las vulnerabilidades del protocolo CAN (una nueva técnica de robo de automóviles similar a hacer el puente) para desbloquear las puertas y arrancar el automóvil.
Ataque a vehículos mediante bluejacking, junio 2022. Los atacantes asaltaron los vehículos de un fabricante estadounidenses mediante ataques de “bluejacking”.
Secuestro de coches, julio 2022. Atacantes pudieron conectarse a las API del VEC, pudiendo monitorizar el estado del coche y controlar el mecanismo de bloqueo a través de su aplicación.
Incidente software, febrero de 2023. Un software implantado en 365.000 vehículos de una marca que presentaba deficiencias a nivel de funcionamiento ya que no identificaba correctamente las intersecciones y no hacía ajustes de velocidad correctamente, con el riesgo de provocar accidentes.