La seguridad de los coches inteligentes a examen

Publicado el 18/08/2015, por INCIBE
La seguridad de los coches inteligentes a examen

El sector automovilístico, al igual que muchos otros, ha evolucionado a lo largo del tiempo combinando multitud de tecnologías ya existentes de otros sectores e incorporando las suyas propias.

Hoy en día se puede decir que un automóvil es un sistema de control industrial, ya que posee partes de automatización y, en muchos modelos, la gestión de gran parte de sus funcionalidades está centralizada en un controlador de abordo que hace las funciones de HMI. En este sentido, uno de los avances más vistosos que cada vez se está comercializando en más modelos de diferentes fabricantes es el sistema de aparcamiento automático, compuesto por multitud de sensores y actuadores, y que también es controlado por el ordenador de a bordo. En algunos modelos es posible incluso conectar  dispositivos adicionales, como USBs, teléfonos móviles, etc., o integrar  pequeños ordenadores en el panel. Así mismo, existen otros sistemas dentro de un vehículo que requieren  de cierto control, como el ESP, el ABS, la presión de las ruedas, los sistemas de detección de señales, etc.; por lo que las necesidades de comunicación y gestión eventos y  señalización han aumentado de una manera muy significativa.

Protocolos y tecnologías de la información aplicados en vehículos

Dependiendo del fabricante y el modelo  de vehículo las comunicaciones internas existentes se realizan mediante diferentes protocolos de comunicación, como CANbus, LINbus, MOST, FLexRay, Ethernet, TPMS y Immobilizers, destacando los dos primeros por ser los más usados en la actualidad.

En lo que a la comunicación del vehículo con el exterior se refiere, también existen varios protocolos. Éstos dependerán del destino de la información a la hora de transmitir y recibir datos:

  • V2V (Vehículo a Vehículo): La información que genera un vehículo tiene como destino otro.
  • V2I  (Vehículo a Infraestructura): Cuando la información que genera un vehículo tiene como destino una infraestructura (como por ejemplo un aparcamiento que avisa de si hay plazas disponibles o no).
  • V2G (Vehículo a Red): Cuando un vehículo eléctrico se comunica con la red eléctrica (avisa de que tiene la necesidad de ser cargado).

Protocolos V2V, V2I y V2G

- Protocolos del automóvil que interactúan con el exterior del mismo (V2G sólo para automóviles eléctricos) -

El hecho de que en la creación de estos protocolos no se estableciera la seguridad como una de sus prioridades ha provocado que los expertos especializados en el sector automovilístico se hayan visto obligados a trabajar contrarreloj para mejorar la protección de los sistemas y prevenir posibles riesgos.

No existe una metodología concreta para la revisión e investigación de vulnerabilidades en el sector automovilístico, ya que cada investigador sigue sus propias pautas, aunque la línea de investigación siempre es más o menos la misma.

La revisión debe comenzar por el análisis de las comunicaciones del vehículo, tanto internas como externas. CANBus y LINBus son protocolos antiguos y no presentan características de seguridad, además, su baja tasa de trasferencia los está volviendo obsoletos. Estos protocolos están siendo sustituidos por otros con base en Ethernet, incorporando las características de seguridad propias de este protocolo.

Conexiones del coche

- Comunicaciones internas y externas del vehículo -

Una vez revisadas las comunicaciones, es recomendable revisar los diferentes componentes pertenecientes a otros fabricantes incluidos en el vehículo. Uno de los más relevantes suele ser el sistema de audio ya que gracias a su pantalla táctil es el encargado de mostrar todos los avisos y controla muchas funciones en la mayoría de los vehículos.

Por otra parte, un aspecto fundamental es realizar una revisión del sistema operativo, ya sea propietario o no, y buscar las vulnerabilidades teniendo muy en cuenta aquellas ya conocidas y que por tanto son más susceptibles de ser explotadas.

Es evidente que cuanto mayor es la conectividad de un sistema, hay más puntos que pueden intentar ser explotados por un potencial atacante y más expuesto está el sistema, por lo que es necesario incrementar las medidas de seguridad para mantener un nivel de protección óptimo. Es importante tener en cuenta que en el sector automovilístico, al igual que en todos los demás, ningún sistema es 100% seguro y que por tanto puede darse el caso de que un atacante aproveche los fallos existentes.

Los ataques a los que los fabricantes tienen que hacer frente incluyen: alteración de las mediciones realizadas, generación de errores o códigos que el coche interprete como peligrosos para su funcionamiento; o más graves aún, como han demostrado investigadores en PoC realizando el frenado de un coche o logrando hacerse con el control absoluto del vehículo, como ha sido recientemente demostrado por el investigador Charlie Miller. Las vulnerabilidades más habituales buscan lograr la ejecución remota de código con el fin de realizar alguna de las acciones anteriormente descritas.

Otro caso reciente sobre vulnerabilidades encontradas tiene que ver con el puerto OBD2 del que hace uso el dispositivo C4 de Mobile Devices, que contiene múltiples vulnerabilidades entre las que destaca el acceso a servicios activos por defecto (telnet, ssh y http) a los que un atacante podría conectarse de forma remota.

Ataques al sistema TPMS

El Sistema de Control de Presión de los Neumáticos (TPMS) cuenta con un sensor simple que se encuentra en el interior de la rueda y gracias al cual se obtiene información sobre la presión del aire de los neumáticos, así como otras mediciones (rotación, temperatura, etc.), por lo que tiene una relevancia bastante significativa.

A continuación se describen algunos de los posibles ataques que pueden realizarse sobre este sistema:

  • Seguimiento de vehículos: Estos dispositivos poseen un identificador único de 32 bits registrado en la ECU (Engine Control Unit) y gracias a esto es posible realizar el seguimiento de un vehículo, configurando previamente para ello múltiples sensores en diferentes puntos de una ciudad por ejemplo. El TPMS difunde una señal entre cada 60 y 90 segundos y, si no es así, es provocada por la emisión de onda de radiofrecuencia.
  • Activación de eventos: Usando el identificador único, un posible atacante puede provocar que se generen eventos adicionales cuando el vehículo esté cerca de él de modo que dicho ataque derive en acciones automáticas del vehículo como activación del ESP, luces, etc.
  • Suplantación de paquetes: Un atacante podría ser capaz de manipular el funcionamiento o los parámetros del vehículo. Normalmente este tipo de ataque sólo origina una luz en el panel de control, pero también pueden activarse sistemas del coche y llegar a producir un accidente.

 Alta tecnología automovilística

En el entorno de la fórmula 1 también se están investigando vulnerabilidades, ya que este tipo de coches poseen mucha más potencia, no sólo en su motor, sino en su electrónica e inteligencia.

Al tratarse de una competición de muy alto nivel, tanto el equipamiento del monoplaza, como los medios que se tienen para que todo salga bien, han de ser de gran calidad, por ello estos coches cuentan con más de 300 sensores de gran precisión repartidos por todo el conjunto para obtener diferentes medidas. Los sensores centralizan sus datos en la ECU y, desde ahí, son enviados hasta el personal en los boxes mediante tecnologías inalámbricas, en un tiempo inferior a 2 ms.

Los sensores registran más de 0.5 Mb de datos por segundo, lo que supone más de 2 GB por carrera y más de 3 terabytes de información a lo largo de todo un año de carreras. Con tal cantidad de datos transmitidos por el aire y la necesidad de que todos ellos se mantengan seguros y no se pierda la comunicación entre el piloto del monoplaza y su ingeniero en el muro de boxes es todo un reto. Un dato erróneo en un sensor podría provocar un fallo ya no sólo en la telemetría, sino en algún componente del coche y provocar una retirada de carrera sin ser realmente necesaria o incluso un accidente.

Además de la precisión a la hora de recibir y enviar información, es importante que éste vaya cifrado para que el resto de competidores no conozca parámetros del monoplaza durante la carrera que puedan ser determinantes para el desenlace final. También hay que tener en cuenta que ya que se han conocido casos de espionaje dentro de la competición, aunque en este caso poco o nada tenía que ver con las comunicaciones propias de los monoplazas.

 Crecimiento y futuro

En la actualidad se estima que existen 1.200 millones de vehículos en todo el mundo, de los cuales una pequeña parte empiezan a poseer inteligencia suficiente como para llegar a ser autónomos en la conducción. La previsión de vehículos para el año 2035 es que se llegue hasta los 2.000 millones de unidades en el mundo, lo cual hace prever que los vehículos inteligentes también aumentarán. ¿Estaremos seguros si compramos un coche actual con todas las funcionalidades que lo exponen a un ciberataque?

Por suerte, algunos fabricantes ya están tomando medidas para mitigar las vulnerabilidades encontradas y están invirtiendo más en seguridad, protegiendo así las nuevas funcionalidades incluidas en sus modelos.