Cómo asegurar la ciberseguridad: cinco formas de proteger los sistemas telemáticos para OEM

Los vehículos conectados en red prometen numerosas ventajas para fabricantes y usuarios, pero cada vez son un objetivo más codiciado por los hackers. Los fabricantes de automóviles deben asegurarse de que los delincuentes no puedan acceder a los datos confidenciales de sus clientes a través de sus interfaces telemáticas. 

Los ataques mediante ransomware y el robo de datos se están volviendo una amenaza importante y más fuerte para el sector de la automoción alemán, especialmente para todas las áreas de las cadenas de producción y suministro.

Además, los expertos en seguridad identificaron tres áreas de riesgo particularmente expuestas a los ciberataques: las estaciones de carga para vehículos eléctricos, los sistemas de acceso sin llave y las API en la nube. 

Todo esto demuestra que los ataques ya no están dirigidos únicamente al entorno informático de los fabricantes y proveedores de automóviles, sino que cada vez buscan más el producto final, es decir, el vehículo conectado a la red en carretera. 

Un reto para toda la cadena de valor 

Los ciberdelincuentes no solo se fijan en los OEM —fabricantes de vehículos—, sino que cada vez están atacando más las áreas previas y posteriores a la cadena de valor, por lo que también se debe contemplar a los proveedores y al mercado posventa a la hora de definir las medidas de seguridad. En el caso de los vehículos conectados en red, esto significa que los fabricantes no solo tienen que garantizar la seguridad de sus propios componentes y sistemas, sino que también deben valorarla seriamente al elegir a sus partners y vigilar que estos dispongan de las certificaciones adecuadas. 

En este sentido, los dispositivos y sistemas telemáticos desempeñan un papel fundamental, ya que suelen transmitir los datos a través de redes móviles públicas que pueden tener puntos débiles. Para protegerse de los ataques a los intermediarios durante la transferencia inalámbrica de datos, los OEM deben cifrar las transmisiones con algoritmos muy potentes o asegurarse de que sus dispositivos de proveedores externos sean capaces de hacerlo. 

Después, los datos se recopilan en una nube para su procesamiento. Huelga decir que este entorno también debe protegerse adecuadamente y que las empresas deben verificar que se cumplan los requisitos del Reglamento General de Protección de Datos europeo (“RGPD”). 

Si los datos se transfieren desde la nube del OEM a proveedores de servicios externos para un procesamiento posterior, aquí también deberá cumplirse el RGPD, y las interfaces (API) pertinentes deberán estar a su vez protegidas. 

Los OEM que busquen partners para sus sistemas telemáticos y den la máxima prioridad a la protección y seguridad de datos, deberían plantearse las siguientes cinco preguntas a la hora de elegir a sus proveedores de software y hardware: 

1. ¿Quién fabrica el hardware? ¿Se utilizan los mismos dispositivos en todos los vehículos? 

   Esta pregunta es importante para los proveedores de telemática que no fabrican su propio hardware y que pueden no tener un amplio conocimiento de seguridad del mismo. Si los proveedores no tienen un control directo sobre el hardware y el software, es posible que tarden más en reaccionar en caso de incidente. 

    

   Por otra parte, el uso generalizado de los mismos dispositivos tiene especial relevancia desde el punto de vista de las actualizaciones, ya que tener infraestructuras diferentes puede dar lugar a la aplicación de parches, lo que exige un gasto innecesario de esfuerzo y tiempo. 

2. ¿Los datos se cifran antes de transmitirlos a través de la red móvil? 

   Los OEM no deben confiar únicamente en los estándares de seguridad de los operadores móviles para garantizar la seguridad de sus transmisiones telemáticas de datos. Al seleccionar dispositivos telemáticos, los fabricantes deben asegurarse de que los dispositivos también ofrecen un cifrado firme. 

3. ¿Están firmadas las actualizaciones de firmware? 

   No solo pueden sufrir ataques los datos transmitidos, los propios dispositivos telemáticos también pueden ser un blanco fácil, por ejemplo, si los delincuentes falsifican una actualización o instalan un firmware malicioso en el dispositivo. Este tipo de ataque se puede evitar mediante la firma de código, es decir, con la firma electrónica de las actualizaciones reales. El dispositivo puede detectar los códigos sospechosos y rechazará cualquier firma que no sea la esperada. 

4. ¿El proveedor cuenta con una documentación de seguridad completa que cubra el hardware, los servidores, la transferencia de datos y las políticas de la plantilla? 

   La documentación de seguridad de un proveedor pone de manifiesto si este fomenta una cultura de seguridad. Las empresas telemáticas deben ser capaces de explicar en detalle sus medidas de seguridad, así como las estrategias de recuperación y mitigación de daños que aplican en caso de producirse un evento inesperado. Disponer de un documento en el que se describan los procesos de seguridad es esencial para que los fabricantes de vehículos y los clientes de flotas comprendan qué se hace con los datos generados de los vehículos.

5. ¿Cuál es la estrategia de contención de un proveedor en caso de infracción de seguridad?

   Si se produce una infracción de seguridad, el sistema debe conservar la menor cantidad de datos personales posible. Las contraseñas reales nunca se deben almacenar directamente en el sistema del proveedor de servicios telemáticos, sino que deben registrarse de forma criptográfica. La seguridad puede fortalecerse todavía más mediante un método denominado salting, que consiste en agregar una cadena aleatoria al texto sin formato de la contraseña antes de generar el encriptado. 

    

   En principio, los partners potenciales que puedan responder satisfactoriamente a estas cuestiones son candidatos para una colaboración posterior. Además, los proveedores de servicios telemáticos también deben gestionar la seguridad de forma proactiva, manteniendo sus propios sistemas actualizados en todo momento y documentando las medidas de seguridad de forma transparente para sus clientes. 

Cómo entendemos la seguridad en Geotab 

En Geotab, nos guiamos por un enfoque riguroso de la seguridad de datos basado en el principio de la mejora continua. Para proteger a nuestros clientes y partners, revisamos, mejoramos y validamos continuamente nuestros mecanismos y procesos de seguridad, con el objetivo de garantizar que nuestros sistemas están lo mejor equipados posible frente a los ataques. Geotab proporciona a los clientes una documentación completa sobre las medidas de seguridad de datos técnicas y organizativas implementadas en todo nuestro ecosistema. Además, trabajamos con colaboradores líderes para mejorar la seguridad en todo el sector. Como proveedor de telemática integrada verticalmente, Geotab participa directamente en cada fase de desarrollo de nuestro ecosistema telemático. Todo ello, sumado a muchos años de experiencia en el mercado, nos convierte en un socio de confianza para el sector de la automoción que puede ayudar a salvar las posibles carencias internas.

Si los fabricantes desean que sus vehículos en red tengan una seguridad total, deben tener en cuenta todo el ámbito de la telemática. Esto es importante no solo para la transmisión de datos, sino también para el hardware y el software utilizados —en los cuales se incluyen también las siempre complejas cadenas de suministro—. Colaborar con partners experimentados puede reducir significativamente el tiempo de comercialización.