La movilidad del presente y del futuro están marcadas por los avances de la tecnología en la industria automotriz, especialmente con la incorporación de vehículos conectados a todo; a través de redes “vehicles-to-Everything o V2X, por sus siglas en inglés. La comunicación V2X promete revolucionar la movilidad al permitir que los vehículos intercambien información en tiempo real sobre condiciones del tráfico, accidentes y otros peligros.

V2X habilita la comunicación con la infraestructura vial, con los peatones y con la nube, mejorando la seguridad, eficiencia y experiencia de conducción. Sin embargo, esta conectividad también presenta desafíos significativos en términos de ciberseguridad.  Es decir, esta misma capacidad de comunicación abierta puede convertirla en un blanco atractivo para los ciberataques, de manera que la posibilidad de que un cibercriminal comprometa la red de un vehículo y, por ende, su seguridad y la de sus ocupantes, hace que la ciberseguridad sea una prioridad crítica.

Algunos desafíos de ciberseguridad que sobresalen son:

  • – Una superficie de ataque ampliada, dado que cada punto de conexión (sensores, sistemas de comunicación, etc.) es una posible vulnerabilidad.
  • – La integridad y confidencialidad de los datos de la información intercambiada entre vehículos debe ser precisa y debe estar protegida contra cualquier tipo de interceptación o manipulación.
  • – La privacidad de los usuarios, como los datos de ubicación y del comportamiento de los conductores, deben manejarse con cuidado a fin de proteger la privacidad.

 

Para abordar estos desafíos, han surgido diversas normativas y estándares de ciberseguridad en la industria automotriz.

Un ejemplo destacado es la norma ISO/SAE 21434, la cual establece requisitos para la gestión de la ciberseguridad en el sector automotriz durante todo el ciclo de vida del vehículo. Esto incluye desde la fase de diseño y desarrollo hasta la producción, operación, mantenimiento y retiro del mercado.

La norma proporciona un marco para evaluar riesgos, implementar controles de seguridad y garantizar la protección contra amenazas cibernéticas en los sistemas de vehículos. Su objetivo es asegurar que los vehículos conectados sean diseñados con ciberseguridad incorporada y se mantengan seguros frente a las crecientes amenazas cibernéticas.

Además, la norma UNECE WP.29 introdujo nuevas regulaciones que exigen que los fabricantes de vehículos implementen sistemas robustos de gestión de ciberseguridad y reporten incidentes de seguridad.

UNECE WP.29 es el Foro Mundial para la Armonización de Regulaciones sobre Vehículos, organizado por la Comisión Económica para Europa de las Naciones Unidas (UNECE).

Su objetivo es desarrollar regulaciones internacionales armonizadas para mejorar la seguridad, el rendimiento ambiental y la eficiencia energética de los vehículos. WP.29 establece estándares que abarcan la homologación de vehículos, sistemas y componentes, y promueve la cooperación global en la regulación automotriz. Esto incluye la reciente atención a la ciberseguridad y la automatización en la industria automotriz.

Se conoce también que la industria automotriz está comprometida con la excelente calidad de los procesos, los procesos de mejora continua, los más altos estándares y la innovación. De hecho, la norma IATF 16949 es la usada para los sistemas de gestión de la calidad de los proveedores en la industria automotriz.

Por otra parte, también están las normas ISO 26262 e ISO 26262-1:2018 cuya aplicación tiene por objeto garantizar la seguridad funcional de un sistema con componentes eléctricos o electrónicos en un vehículo de motor. La norma consta de 12 partes que citamos a continuación:

  • – Parte 1: Vocabulario
  • – Parte 2: Gestión de la seguridad funcional
  • – Parte 3: Fase de concepto
  • – Parte 4: Desarrollo de productos a nivel de sistema
  • – Parte 5: Desarrollo de productos a nivel de hardware
  • – Parte 6: Desarrollo de productos a nivel de software
  • – Parte 7: Producción, operación, servicio y desmantelamiento
  • – Parte 8: Procesos de apoyo
  • – Parte 9: Análisis orientado al nivel de integridad de la seguridad del automóvil (ASIL) y orientado a la seguridad
  • – Parte 10: Directrices sobre la norma ISO 26262
  • – Parte 11: Directrices sobre la aplicación de la norma ISO 26262 a los semiconductores
  • – Parte 12: Adaptación para motocicletas.

 

Sumado, para garantizar la seguridad de principio a fin a pesar de estas complejidades, desde el desarrollo hasta el vehículo terminado en la carretera, es importante pensar en un sistema de gestión de la ciberseguridad (CSMS) de forma holística. Además, los vehículos deben diseñarse sobre la base de un enfoque de seguridad por diseño. La intención es mantener la puerta de entrada para los atacantes lo más pequeña posible desde el principio.

Algunas estrategias de protección y de paso características del sistema de gestión de la ciberseguridad (CSMS) consideradas en las normas son:

  • – La gestión de riesgos que una organización utiliza procesos para identificar, evaluar y mitigar los riesgos de las ciberamenazas. En vehículos, la gestión de riesgos abarca todo el ciclo de vida del producto, desde el desarrollo hasta la fase operativa en el cliente final.
  • – La autenticación y encriptación mediante métodos robustos para autenticar y encriptar las comunicaciones V2X.
  • – Las actualizaciones del software mediante la implementación de mecanismos para la actualización segura del software del vehículo. El reglamento UNECE R 156 prescribe la introducción y el funcionamiento de un sistema de gestión de actualizaciones de software (SUMS) conforme a la norma para todos los vehículos.
  • – Gestión del monitoreo continuo mediante sistemas de vigilancia para detectar y responder rápidamente a actividades sospechosas.
  • – El despliegue de pruebas de penetración periódicas para identificar y mitigar vulnerabilidades.

 

Como datos relevantes sobre el crecimiento de la flota vehicular, se sabe que:

  • – Un informe de McKinsey & Company, se espera que para 2030 haya más de 700 millones de vehículos conectados en todo el mundo. Este crecimiento exponencial subraya la necesidad urgente de implementar medidas de ciberseguridad efectivas.
  • – Un estudio de la empresa de ciberseguridad Upstream Security revela que los incidentes cibernéticos en vehículos conectados aumentaron en un 99% entre 2018 y 2019, lo que demuestra la creciente amenaza que enfrentamos.

 

Asegurar la ciberseguridad en redes V2X es esencial para el desarrollo seguro de la movilidad. Las normativas, estrategias de protección y un enfoque proactivo en la seguridad son fundamentales para mitigar los riesgos y garantizar que los beneficios de la conectividad vehicular se realicen sin comprometer la seguridad de los usuarios.

La industria automotriz debe seguir innovando y colaborando para enfrentarse a estos desafíos y proteger el futuro de la movilidad. Los profesionales de la ciberseguridad, tenemos otro horizonte más para asegurar.