Kaspersky Lab ha elaborado, junto con IAB Spain, un trabajo de investigación pionero en el mundo: el Primer Estudio de Coches Conectados, cuyo principal objetivo es ofrecer una perspectiva de la situación del coche conectado en España, aunando toda la información disponible en el mercado, resolviendo las preguntas frecuentes y comprendiendo la alta fragmentación existente entre los fabricantes.
No es casual que hayamos apostado por apoyar este informe, cuyo objetivo ha sido analizar las posibilidades que abre la conectividad dentro de los vehículos, una nueva “vuelta de tuerca” del Internet de las cosas”, pues en un futuro realmente próximo estarán tan presentes en nuestras vidas como lo están los smartphones en este momento. De la noche a la mañana llegará, y para quedarse. Las prestaciones que ofrecerán son enormes, pero como siempre, todo tiene su lado negativo y de nuevo, hablamos de la seguridad TI.
Según las previsiones de la consultora especializada en automoción SBD y el GSMA (Groupe Special Mobile Association), el mercado del coche conectado a la red generará en 2018 39.000 millones de euros frente a los 13.000 millones de 2012, triplicando su volumen en tan solo seis años. Este dato abre un nuevo horizonte en las posibilidades del usuario de conectarse a la red y supone que en los próximos cinco años se multiplicará por siete el número de coches nuevos que incorporarán de fábrica sistemas de conectividad
Asimismo, la Unión Europea implantará a partir de 2015 la ECall, la llamada automática a los servicios de emergencias que realizará el vehículo en caso de accidente, lo que supondrá un impulso a la conectividad. Otro estímulo para el crecimiento llegará con el fin del roaming europeo, que favorecerá la conexión en cualquier lugar. No obstante, el coche conectado es ya real y hasta 24 marcas de coches ofrecen distintos servicios de conectividad en el automóvil, entre las que se encuentran BMW, con 34 apps, Renault, con 24, y Mercedes, con 22, por ejemplo.
Si bien, toda nueva oportunidad que se vislumbra suele traer consigo un riesgo potencial adherido. En este caso se trata, como no podía ser de otra manera, de la seguridad. En un coche conectado, no se pueden obviar cuestiones relacionadas con la seguridad en las comunicaciones y servicios derivados de Internet y que se incluyen en la nueva generación de coches “conectados”. No estamos hablando ahora de servicios que ya están muy presentes, como la asistencia al aparcamiento, sino de acceso a redes sociales, correo electrónico, conectividad con el smartphone, cálculo de rutas, aplicaciones que se ejecutan en el coche, etc. La inclusión de estas tecnologías implica una serie de ventajas, pero también de nuevos riesgos a los que el usuario no tenía que hacer frente hasta ahora.
Los coches conectados abren la puerta a las ciberamenazas que ya existen en el mundo del PC y de los smartphones, pero adaptadas a este nuevo medio. La privacidad, las actualizaciones y las apps de los smartphones para los coches conectados son los tres flancos de ataque en los que pueden centrarse los ciberdelincuentes para realizar sus ataques con éxito, según la prueba de concepto realizada e incluida en el estudio, basada en el análisis del sistema BMW ConnectionDrive.
El riesgo de fisuras en la privacidad de datos también puede venir de la mano de compartición de datos acerca de nuestra actividad en el vehículo con terceros. No obstante hay otros riesgos de seguridad más inmediatos relacionados con el nuevo ecosistema que surge junto con los coches conectados, y que supone riesgos como el robo de contraseñas, apertura de puertas (a través de la app del smartphone), acceso a servicios remotos, localización del coche e incluso, en un hipotético caso extremo, el control físico del vehículo.
La gestión de actualizaciones siempre es vital en temas de seguridad, especialmente en la distribución de parches ante una posible vulnerabilidad. El hecho de que algunas de estas actualizaciones se distribuyan a través de la web para que el usuario las descargue y las instale en su coche a través del USB supone un posible vector de ataque que podría llevar a modificar la actualización para ejecutar un código malicioso.
Otro vector de ataque que pueden aprovechar los cibercriminales es el de las aplicaciones móviles. Las tiendas de aplicaciones para los dispositivos móviles ofrecen una variedad ilimitada de juegos y herramientas, pero también están llenas de trampas. Éstas incluyen algunas defectuosas, costes excesivos y acumulativos y apps maliciosas, sobre todo para los dispositivos Android. Existe un creciente interés por parte de los cibercriminales por atacar este sistema operativo para móviles, que en enero del 2014 ya alcanzaba la cifra de 10 millones de aplicaciones maliciosas.
En caso de tener los servicios de apertura remota activados el móvil se convierte en las llaves. Si la aplicación no está bien securizada, podría ser un vector de ataque en caso de robo del teléfono. En uno de los casos estudiados, parece que es posible modificar la base de datos de la aplicación para evitar la autenticación PIN, por lo que un atacante podría evitarla y utilizar los servicios remotos en caso de estar activados.
El coche conectado es un mercado próspero que poco a poco tendrá que ir eliminando puntos débiles, como la gran variedad de sistemas operativos que existen ahora mismo y que tendrán que limitarse o las amenazas que pueden surgir sin una correcta protección tanto de los usuarios como de los fabricantes. Prevemos que el trabajo en esta dirección será intenso para muchos sectores, no sólo el de la seguridad TI.
Puedes descargar el estudio completo en:
http://www.iabspain.net/wp-content/uploads/downloads/2014/07/Informe-coches-conectados-2014.pdf
