Uptane, entorno de ciberseguridad open source para el automóvil

De la mano de un consorcio de investigadores, se ha anunciado la creación de un «framework» open source para proteger las actualizaciones y módulos no cableados de conexión (el Wifi, vamos) de los vehículos de nueva creación. La idea de los expertos es ahora poder reconocer las vulnerabilidades o fallos de la herramienta antes de ser adoptada por el sector.

Uptane, framework de ciberseguridad para automóviles

La solución se ha dado en llamar Uptane y evoluciona de la ampliamente utilizada TUF o The Update Framework. Se trata de una joint-venture entre la Universidad de Michigan, NYU Tandon y el instituto de Investigación de transporte de Michigan, además del Instituto de Investigación del Sur. Este proyecto lo financia el Dpto de Seguridad Nacional de EEUU.

Los coches vienen cada día con más tecnología, sobre todo encaminada a «conectarnos con el mundo» y desde tiempos inmemoriales vienen con ECUs o Electronic Control Units, que son como micro-computadores que controlan el equipamiento de seguridad: airbags, frenos, motor, transmisión y más.

Es decir, los coches se hacen más complejos y las vulnerabilidades aparecen de forma natural, sobre todo teniendo en cuenta que se siguen utilizando módulos de conexión de red que se saben poco seguros.

Ha habido muchos casos de coches hackeados y hackeables en los últimos años.

Para combatir este problema, los fabricantes de vehículos están equipándolos con la capacidad de actualización SOTA: Software Over The Air, que permite que el software de un coche pueda ser modificado sin visitar siquiera el concesionario, resultando esto en menos visitas al taller, más satisfacción de cliente y…de paso, menos costes.

Es importante probar las posibles vulnerabilidades en coches

A pesar de lo dicho, los atacantes podrían fijarse en los mecanismos de actualización «desatendida» de estos vehículos para instalar malware, software e incluso ransomware. ¿Te imaginas que un día no consigues arrancar el coche porque ha sido secuestrado? Eso, por no hablar de los riesgos que podría entrañar para la seguridad de los ocupantes.

En 2013, en un sólo ataque difundido por sistemas de actualización y configuración en Corea del Sur, se produjeron pérdidas valoradas en casi 750000 millones que afectaron a empresas de medios y bancos. Tiempo antes, en Irán, el tan conocido malware Flame dañó seriamente centrales de centrifugado, utilizando para ellos vulnerabilidades en el software de actualización de Microsoft. Según los expertos, algunos vehículos son igualmente vulnerables.

Aunque los ataques distribuídos de este tipo son aún caros y difíciles, están dentro de lo que el cibercrímen de estado podría permitirse y es tiempo de asegurar la infraestructura, sobre todo con el auge de la eletrónica en los vehículos.

Uptane va más allá de lo que fue TUF para poder resolver los problemas específicos del software en la industria del automóvil. Por ejemplo, permitirá a los fabricantes de coches controlar totalmente el software crítico mientras se comparte el control -por ejemplo, con agencias de seguridad- y ayuda a que se desplieguen las medidas correctivas para taponar vulnerabilidades en coches de una forma rápida y muy barata.

Y si aún pensáis que esto del «car hacking» es un camelo, es mejor que veáis el siguiente vídeo: