Los vehículos son cada vez más complejos y conectados. Los vehículos nuevos pueden contener hasta 300 millones de líneas de código y más de 150 unidades de control electrónico (ECU) que se comunican de forma inteligente con los sistemas internos del vehículo. Además, pueden comunicarse con sistemas externos, lo que puede incluir la comunicación vehículo a vehículo (V2V), vehículo a red (V2G), vehículo a infraestructura (V2I) y más, creando el ecosistema V2X en constante expansión. Ya no podemos pensar en un vehículo como una simple máquina que nos traslada del punto A al punto B. Debemos considerarlos como los dispositivos inteligentes e interconectados que son, un dispositivo IoT que es una red de otros dispositivos IoT.
La seguridad vehicular es un desafío en constante evolución. Todos los componentes del vehículo deben ser seguros. La comunicación general con el coche, como las actualizaciones de firmware y Software o el «infoentretenimiento», debe ser segura. Las futuras conexiones V2V deben ser seguras. Para garantizar la seguridad, cada dispositivo necesita una identidad, y cada identidad debe ser gestionada.
Hemos visto cómo una seguridad deficiente puede tener efectos catastróficos. En 2015, unos hackers lograron tomar el control de un Jeep mientras circulaba por una autopista. Recientemente, las compañías de seguros han dejado de cubrir ciertos modelos de Kia y Hyundai porque son demasiado fáciles de robar.
Este blog analizará algunos desafíos y principios de solución específicos de la industria automotriz.
Comunicación vehicular
Dentro del vehículo: La cadena de suministro automotriz
Los vehículos están compuestos por numerosas ECU y componentes conectados, la mayoría de los cuales no son fabricados por el fabricante de automóviles, sino por un proveedor de primer nivel (Tier 1). Esto presenta múltiples desafíos, ya que los fabricantes de automóviles deben ahora contar con procedimientos de seguridad para gestionar identidades que no crearon, o deben disponer de una infraestructura para crear dichas identidades y hacerlas accesibles a múltiples proveedores de primer nivel.
Con cada subsistema inteligente añadido, la superficie de ataque para los agentes maliciosos aumenta. Saber que los sistemas están conectados dentro del vehículo proporciona múltiples vías de acceso a sistemas críticos como el motor, la dirección asistida o los frenos. Una vulnerabilidad en cualquier sistema conectado puede encadenarse a otros sistemas. Esto requiere una relación estrecha y de confianza entre el fabricante de automóviles y sus proveedores de primer nivel y, a su vez, los proveedores de estos.
Aplicaciones V2X actuales y futuras
Redes. Dispositivos. Infraestructura. Red eléctrica. Otros vehículos. El número de «cosas» a las que un vehículo puede conectarse sigue creciendo. Al igual que con las actualizaciones OTA, cada conexión presenta una oportunidad para que un actor malicioso intercepte, lea y altere los datos y Commandos compartidos dentro del ecosistema.
Los estándares serán clave en el futuro, pero a veces pueden quedarse rezagados respecto al desarrollo tecnológico. Además, los fabricantes que operan internacionalmente deben adherirse a estándares contrapuestos. Por ejemplo, en Estados Unidos, los fabricantes deben prepararse para IEEE 1609.2, mientras que en Europa, C-ITS tendrá requisitos diferentes, y ambos deben prepararse para UNECE 155/156. Esto significa que cualquier sistema de seguridad implementado hoy debe ser lo suficientemente flexible y escalable para manejar la incertidumbre del futuro.
Actualizaciones de Software y firmware
Independientemente de la diligencia de los desarrolladores o de los procesos de control de calidad implementados, el Software y el firmware necesitan ser actualizados y mantenidos. En el caso de los vehículos, esto puede hacerse conectando físicamente el vehículo en un concesionario autorizado o mediante actualizaciones OTA, al igual que se actualiza el Software de un teléfono. En teoría, esta es una tarea sencilla: el vehículo se conecta a la red del fabricante o al dispositivo del concesionario, descarga la actualización y la aplica.
Sin embargo, ¿cómo sabe el vehículo que la actualización es legítima y no maliciosa? Ya sea inyectado a través de una conexión remota secuestrada o mediante una actualización física directa, se puede introducir nuevo código en el vehículo, lo que permitiría el control remoto, la violación de datos o incluso un posible ransomware. Las actualizaciones de Software y firmware deben tener los medios para demostrar que provienen de una fuente legítima antes de ser instaladas.
Seguridad desde el inicio
La mejor manera de prepararse para la incertidumbre de los estándares y las nuevas tecnologías del mañana es implementar un sistema flexible y escalable hoy. Esto comienza a nivel de código.
Firma de códigos
La implementación de una firma de código adecuada es fundamental para asegurar las actualizaciones y puede ser la última línea de defensa contra un ataque malicioso.
En caso de comunicación no autorizada, conexión remota o física, las comprobaciones adecuadas de firma de código añaden una capa de seguridad. Ahora, el actor malicioso no solo debe obtener acceso a la comunicación, sino también poseer un certificado de firma de los desarrolladores de Software/firmware. Un sistema diseñado correctamente rechazaría el Software y activaría notificaciones de alerta si se enviara código sin firmar.
El uso de una solución de firma de código y la protección adecuada de sus certificados de firma dificultan considerablemente que un actor malicioso inserte código malintencionado.
Emisión de identidad de dispositivos
La característica distintiva de la comunicación segura es que cada dispositivo posee una identidad confiable y verificable. Esta identidad se presenta con mayor frecuencia en forma de certificado firmado. Con una PKI adecuada, los fabricantes pueden emitir identidades a la ECU de comunicación principal y, en colaboración con sus proveedores de primer nivel, a todas las ECU dentro del vehículo.
Gestión de identidad de dispositivos
En el improbable caso de una brecha de un certificado raíz, la gestión automatizada del ciclo de vida de los certificados es imperativa. Esto puede permitir la revocación masiva de certificados comprometidos y la identificación de dispositivos que podrían no estar en línea, pero que deberán ser gestionados durante la próxima comunicación.
¿Desea saber cómo puede asegurar sus vehículos y cadena de suministro?
Ya sea un OEM automotriz o un proveedor de primer nivel (Tier 1), necesita una solución integral que proteja todo su ecosistema. Keyfactor EJBCA, Keyfactor Command para IoT y Keyfactor SignServer lo hacen posible con una plataforma de identidad IoT de extremo a extremo para firmar Software/firmware, y gestionar y automatizar identidades para dispositivos desde la fabricación hasta el final de su vida útil.
