La industria automotriz enfrenta crecientes preocupaciones de ciberseguridad, ya que analistas advierten que la tecnología de actualizaciones por aire (OTA) utilizada para actualizar los sistemas de los vehículos aumenta la vulnerabilidad a ciberataques. La tecnología OTA entrega actualizaciones inalámbricas de software, firmware y datos a vehículos conectados a internet, una práctica que Tesla normalizó a partir de 2012 con las actualizaciones del Model S. Los expertos citan riesgos de seguridad nacional más allá de la privacidad de datos, y países como Noruega, Dinamarca y Gran Bretaña han expresado su preocupación por que actores extranjeros puedan sabotear los controles del vehículo, lo que impulsa llamados a una mayor intervención regulatoria en el sector.
Jason Van der Schyff, fellow de ciberseguridad, tecnología y seguridad en el Australian Strategic Policy Institute, señaló que la tecnología OTA ahora está integrada en gran parte del sector automotriz. Siraj Ahmed Shaikh, profesor de seguridad de sistemas en la Universidad de Swansea en el Reino Unido, dijo a CNBC que la tecnología se valora por ser una alternativa rápida y rentable a los métodos tradicionales de retirada. Gabriel Lim, analista sénior en la S. Rajaratnam School of International Studies en Singapur, describió el uso de OTA como “una preocupación única de seguridad nacional”.
Norwegian Bus Company Ruter Identifies Control System Vulnerability
A finales del año pasado, la empresa noruega de autobuses Ruter realizó pruebas de seguridad en dos autobuses e identificó riesgos potenciales en uno vinculado a la tecnología OTA. La empresa indicó: “Hay acceso al sistema de control para la batería y el suministro de energía a través de la red móvil mediante una tarjeta SIM rumana. En teoría, por lo tanto, este autobús puede ser detenido o dejarse inutilizable por el fabricante”. Las pruebas se realizaron en autobuses fabricados por la empresa china Yutong.
UK and Denmark Launch OTA Security Investigations
Tras la investigación de Ruter, el Reino Unido y Dinamarca iniciaron sus propias revisiones de seguridad. El Departamento de Transporte del Reino Unido confirmó que estaba examinando el asunto y trabajando estrechamente con el National Cyber Security Centre del país. El profesor Shaikh subrayó que la vulnerabilidad va más allá de un solo fabricante o país, y señaló que la adopción de OTA se está extendiendo a los sectores marítimo, ferroviario, aeroespacial, maquinaria industrial y robótica.
American Enterprise Institute Recommends Security Reviews in May Report
En mayo, el American Enterprise Institute emitió un informe advirtiendo que proteger el sector automotriz era crucial para limitar la capacidad de espionaje de gobiernos extranjeros. El informe indicó: “Para protegerse contra las amenazas de espionaje extranjero, Estados Unidos debería considerar revisiones de seguridad adicionales, aplicar restricciones sobre cierto hardware y software de fabricación extranjera en los vehículos y exigir mayores divulgaciones sobre la recopilación de datos”. Lim destacó la importancia de exigir responsabilidades a las entidades y a los gobiernos sobre cómo se aplican los sistemas OTA, en particular respecto de sistemas que “funcionan en silencio en segundo plano de las tecnologías que usamos en nuestra vida cotidiana”.
FAQ
¿Qué vulnerabilidad descubrió la empresa noruega de autobuses Ruter en la tecnología OTA?
Ruter halló que un autobús tenía acceso a su sistema de control para la batería y el suministro de energía a través de la red móvil mediante una tarjeta SIM rumana, lo que significa que el vehículo podría detenerse o dejarse inutilizable de forma teórica por el fabricante.
¿Qué países iniciaron investigaciones tras las pruebas de autobuses en Noruega?
El Reino Unido y Dinamarca iniciaron sus propias investigaciones de seguridad después de los hallazgos de Ruter; el Departamento de Transporte del Reino Unido trabajó estrechamente con el National Cyber Security Centre para examinar el asunto.
¿Qué recomendó el American Enterprise Institute en su informe de mayo?
La institución recomendó que Estados Unidos considerara revisiones de seguridad adicionales, aplicara restricciones sobre cierto hardware y software de fabricación extranjera en los vehículos, y exigiera mayores divulgaciones sobre la recopilación de datos para protegerse contra las amenazas de espionaje extranjero.