Coches Conectados: Normativa WP.29 y la Seguridad del Mañana

Desde Osint, queremos agradecer al creador de esta publicación, Victor Hernández Moreno, apasionado de las nuevas tecnologías, es administrador de sistemas y tiene una amplia trayectoria en la cual combina habilidades técnicas y comerciales, forma parte de una reconocida automotriz a nivel mundial.

En la actualidad; se calcula que el software que equipa un coche moderno de gama media se compone de unos 100 millones de líneas de código.
Esto lo convierte en un atractivo para los ciberdelincuentes ya que los peligros que puede conllevar la manipulación del software de un vehículo son innumerables.
Desde 2012 se han documentado más de 40 ataques a modelos de diferentes fabricantes, que comprometieron la privacidad de las personas que viajaban a bordo de esos vehículos e incluso, supusieron un peligro para su vida.

Durante estos últimos años los fabricantes de todo el mundo se han ido adaptando a los cambios que el mercado y las normativas requerían.
En 2024 los fabricantes cuentan con unas determinadas normativas en relación a la ciberseguridad que van desde la prevención a la hora del montaje hasta la actuación frente una amenaza a tiempo real.

En el siguiente post nos adentraremos mas en las especificaciones de dichas normativas.

TODO SOBRE LA NORMATIVA ONU/UNECE WP.29

El 23 de junio de 2020, se aprobó una normativa que establece las reglas para la ciberseguridad de los vehículos conectados y autónomos. Esta normativa, conocida como UNECE/TRANS/WP.29/2020/79, lleva por título “Reglamento de las Naciones Unidas sobre disposiciones uniformes relativas a la aprobación de vehículos en cuanto a la ciberseguridad y el sistema de gestión de ciberseguridad.
Este reglamento ofrece una estructura para que la industria automotriz implemente los procedimientos necesarios para:
• Garantizar que las evaluaciones de riesgos se mantengan al día.
• Supervisar los ciberataques y responder de manera efectiva a ellos.
• Examinar los ataques exitosos o intentados.
• Detectar y gestionar los riesgos de ciberseguridad en el diseño de vehículos.
• Comprobar que los riesgos se gestionen adecuadamente, incluidas las pruebas.
• Evaluar si las medidas de ciberseguridad siguen siendo efectivas ante nuevas amenazas y vulnerabilidades.

Para poder cumplir con la normativa, los fabricantes deberán llevar a cabo un CSMS (sistema de gestión de ciberseguridad), que consiste en un conjunto de procesos que garanticen la seguridad informática del vehículo frente a diferentes ataques. Esto debe cumplirse durante todo el proceso de fabricación y postventa.
Este CSMS deberá servir para proteger a los vehículos frente:
• Amenazas relacionadas con los servidores back-end. Estos servidores son los que permiten el funcionamiento de todo el sistema informático de los vehículos o las redes internas del fabricante. Se deben prevenir, entre otras amenazas, la pérdida de información en la nube, las filtraciones de datos por compartir información involuntariamente y el uso indebido de datos por parte de un trabajador con acceso a ellos.
• Amenazas relacionadas con los canales de comunicación que utiliza el vehículo para conectarse con su entorno -por ejemplo, otros vehículos o la infraestructura-. Se deben evitar, entre otras amenazas, la suplantación de identidad de otros vehículos, la inyección de malware (programas que dañan los sistemas informáticos) a través de los canales de comunicación y la manipulación o eliminación de los datos y códigos del software del vehículo.
• Amenazas a las conexiones y la conectividad externa. Se deben prevenir, entre otras amenazas, la manipulación de funciones remotas como la llave, el inmovilizador y la batería; la manipulación de las conexiones telemáticas del vehículo, como la medición de la temperatura de la mercancía en vehículos industriales o el desbloqueo remoto de las puertas; y la interferencia en los sistemas inalámbricos de corto alcance o sensores.
• Amenazas a los datos/código del vehículo. Se deben evitar, entre otras amenazas, el acceso no autorizado a la información privada del propietario -quién es, su cuenta bancaria, ubicación, identificación electrónica del vehículo- y la falsificación de identidad o manipulación de datos del vehículo -kilometraje, velocidad de conducción, envío de mensajes falsos e indicaciones al conductor, etc.-.
• Amenazas relacionadas con los procedimientos de actualización de los vehículos. Se debe prevenir cualquier tipo de amenaza que afecte los procesos de actualización de los sistemas informáticos de los vehículos, ya sea que se realicen de forma inalámbrica (Over The Air) o mediante una descarga.
• Amenazas relacionadas con acciones humanas no intencionadas. Se deben evitar, entre otras amenazas, que alguien con acceso al vehículo -como el propietario o un mecánico- pueda introducir un virus de forma involuntaria si es engañado por un ciberdelincuente.
• Posibles amenazas que podrían explotarse si no se protegen o refuerzan lo suficiente. Se deben prevenir, entre otras amenazas, fallos de software, que la información del primer propietario del vehículo pase al segundo dueño -en caso de venderse en el mercado de ocasión-, o que se reemplacen elementos del vehículo que cumplen con la norma por otros que no la cumplen.

Todo esto será responsabilidad de los fabricantes. Tendrán que pasar controles de calidad y auditorias para la comprobación de estos puntos.

#CyberSecurity ? #TechSafety ? #AutoHacking ? #ConnectedCars ? #UNECEWP29 ? #VehicleSecurity ? #SmartCars ? #AutomotiveTech ⚙️ #DataProtection ?️ #FutureOfMobility ?