Más de 775 millones de automóviles en el mundo están en riesgo de sufrir ciberataques en sistemas tan cruciales como eje de transmisión, sistemas de seguridad, unidades de control y sistemas de comunicación, en tanto en México, las 39 plantas armadoras son también potenciales víctimas, lo mismo que las más de 100 mil unidades que se producen al mes.
Según el Libro Blanco de la Ciberseguridad Automotriz, del Centro de Manejo Automotriz, además de los vehículos nuevos que cuentan ya con conectividad, la superficie susceptible de recibir ataques, va desde las páginas web falsificadas de empresas automotrices, hasta sistemas y componentes de vehículos, plataformas de movilidad inteligente, dispositivos de Internet de las Cosas (IoT) y aplicaciones de toda índole.
Al respecto, Sergio Navarro, director de preventa de IQSEC, empresa especializada en ciberseguridad, señaló que “la industria automotriz debe estar muy consciente de que cualquier punto de conectividad es vulnerable a los ataques, tanto en las 39 plantas que producen autos en México como en cada uno de los componentes que integran las más de 100 mil unidades, que aproximadamente comercializan al mes”.
Recordó que muchas de estas plantas armadoras de automóviles se encuentran en Chihuahua, Guanajuato y Nuevo León, pero también son susceptibles de ataques muchas otras empresas que se relacionan con éstas como parte de la cadena de suministros.
Es común encontrar ataques digitales en tarjetas SIM, el sistema Wi-FI, satélites, teléfonos inteligentes vinculados a los vehículos, sistemas de arranque sin llaves, carga bidireccional y almacenamiento en la nube, por sólo citar algunos casos.
En ese sentido, el especialista señaló que ante la gran vulnerabilidad que significa la conectividad de los vehículos, es importante concebir a la ciberseguridad automotriz como un conjunto que abarque todo el vehículo, “incluyendo el ecosistema digital y todo el ciclo de vida del producto”.
Además, recordó que tal como señala en el Libro Blanco, 67 por ciento de los ataques cibernéticos registrados fueron dirigidos a proveedores de automóviles, lo cual demuestra que los ataques no se limitan a las grandes marcas de vehículos, sino también a sus proveedores (de todos tipos, tamaños y especialidades), concesionarios y participantes directos de la cadena de valor, aunque no produzcan autopartes o no provean servicios críticos para las armadoras.
De hecho, si los terceros que se conectan a los sistemas industriales para proveer servicios no tienen un nivel de protección aceptable, el riesgo de la industria al aceptar que se conecten le podría dar un puente de paso a los atacantes para burlar las defensas de la industria principal.
A manera de ejemplo, detalló que recientemente un importante proveedor de software para concesionarios de automóviles sufrió un incidente de ciberseguridad, que lo obligó a cerrar la mayoría de sus sistemas y retrasó las ventas de automóviles en América del Norte, con importantes pérdidas económicas para el fabricante.
“Los principales tipos de ataque contra el sector automotriz son Amenazas Persistentes Avanzadas (APT), que, en alrededor del 58 por ciento de los ataques a la cadena de suministro, tienen como objetivo acceder a los datos de los clientes, incluidos los datos personales y la propiedad intelectual”, señaló Sergio Navarro.
De ahí la necesidad de implementar estrategias de ciberseguridad en toda la cadena de valor de la industria automotriz, como la instalación de firewalls avanzados, detección de intrusiones, actualización regular del software; brindar capacitación al personal, desde la línea de producción hasta los departamentos administrativos para mitigar riesgos de ingeniería social y técnicas de phishing; y realizar auditorías periódicas de seguridad y evaluaciones para identificar brechas de seguridad.
Las empresas relacionadas con esta rama industrial, deben también establecer canales de comunicación eficaces con dependencias públicas dedicadas a la ciberseguridad para compartir inteligencia sobre amenazas y mejores prácticas; así como desarrollar planes de respuesta para incidentes cibernéticos.
C$T-GM