NOTICIAS

Listado de noticias

Tribuna: «Ciberseguridad en la carretera del futuro» por Ángel Pérez Beumala y Antonio Fontiveros Pérez

  • 04/10/2018

Artículo elaborado conjuntamente por:

Ángel Pérez Beumala – Gerente de Organización y Ciberseguridad

Antonio Fontiveros Pérez – Responsable de Ciberseguridad

Introducción

Aunque este artículo trata sobre la ciberseguridad, es primordial destacar que la principal preocupación en el sector de transporte por carretera es la seguridad vial, es decir, reducir el número de víctimas por accidente. El objetivo europeo es conseguir Cero Victimas en el año 2050.

La aplicación de las nuevas tecnologías al sector del transporte por carretera está contribuyendo de forma clave en la reducción de los accidentes. El último estudio RoadTech realizado por The Economist Intelligence Unit (EIU) para Abertis, estima en un 90% la reducción de víctimas mortales mediante el uso de vehículos autónomos.

Sin embargo, la implantación de estas tecnologías introducirá nuevos riesgos tecnológicos procedentes tanto de los vehículos conectados y autónomos como de los dispositivos instalados en la infraestructura viaria. Un ciberataque a este ecosistema IoT en la carretera puede llegar a representar una amenaza a la seguridad de las personas. 

Dispositivos IoT en la carretera

  • El coche, un superdispositivo IoT

El gran protagonista en la carretera es el vehículo, actualmente Vehículo Conectado pero que progresivamente va desplegando prestaciones de Vehículo Autónomo.

Los vehículos conectados ya son una realidad y los podemos considerar como un “superdispositivo” IoT que además está gestionado por particulares. Cada vez aparecen en el mercado más vehículos que disponen de señal GPS y 4G. Pronto comenzarán a disponer también de conectividad G5. Ejemplos como el eCall obligatorio en los vehículos nuevos desde hace unos meses realiza una llamada al 112 y envía la señal GPS y otra información del vehículo como el número de bastidor.

Comenzamos a tener experiencias con vehículos autónomos, la Sociedad de Ingenieros Automotrices (SAE) ha establecido un esquema de 5 niveles según el nivel de automatización:

  • Nivel 1 – Asistente de conducción

El sistema algunas veces realiza alguna parte de la tarea.

Ejemplos: Sistema de control de crucero, Mantenimiento del vehículo en el carril, Aparcamiento asistido (sólo dirección).

  • Nivel 2 – Autonomía parcial

El sistema realiza alguna tarea de conducción

El conductor continúa monitorizando todo y haciendo todas las tareas básicas.

Ejemplos: Asistentes para atascos del tráfico, Sistemas de aparcamiento asistido (dirección, freno y acelerador), Mercedes Drive Pilot, Volvo Pilot Assist, Nissan ProPilot.

  • Nivel 3 – Autonomía condicional

El sistema puede realizar algunas tareas y monitorizar el entorno en algunos casos. El conductor debe estar disponible para tomar el control cuando el sistema lo requiere

El sistema Autopilot de Tesla se encuentra en este segmento.

  • Nivel 4 – Alta autonomía

En casos definidos (por ejemplo, un carril segregado de autopista), no se precisa conductor, el sistema toma todas las decisiones, pudiendo conducir y monitorizar el entorno.

Ya hay diversas pruebas de coches, autobuses y camiones en circuitos controlados.

  • Nivel 5 – Plena autonomía

El sistema lo hace todo, ha desaparecido el volante.

Recientemente Volvo ha presentado Vera, su camión eléctrico autónomo de nivel 5 que es controlado y monitoreado mediante un servicio cloud.

Parece razonable suponer que las primeras experiencias reales de autonomía Nivel 4 tendrán lugar en las vías de alta capacidad por su menor complejidad de gestión frente a las vías urbanas.

  • Dispositivos IoT en la infraestructura viaria

La carretera no es ajena a la transformación digital, desde hace ya tiempo se han desplegado multitud de dispositivos del ámbito IoT de distinta naturaleza. En vías de alta capacidad el número de dispositivos IoT por kilómetro gestionado se duplica cada dos años:

  • Cámaras de tráfico
  • Semáforos
  • Sensores de densidad de vehículos
  • Sensores de condiciones meteorológicas
  • Sensores de monitorización de la infraestructura (iluminación, presencia de humo, …)
  • Paneles de señalización

Con la aparición del vehículo conectado y del vehículo autónomo se prevén nuevos dispositivos IoT en la infraestructura:

  • Antenas de comunicaciones con protocolos de muy baja latencia que faciliten la comunicación entre vehículos (V2V) y con la infraestructura (V2I).
  • Señales de tráfico específicas para vehículos conectados
  • Señales de tráfico diseñadas para la convivencia entre vehículos conectados y vehículos tradicionales: Asignación de carriles, Asistencia a las incorporaciones, …
  • Límites de velocidad dinámicos

Riesgos de ciberseguridad en la carretera

  • Ciberincidentes en la carretera

Las vulnerabilidades ya conocidas en ciberseguridad se extienden a todos estos nuevos dispositivos conectados. Los ciberincidentes en el contexto de la carretera no son nuevos:

  • 2005 – Dispositivos de inhabilitación de tráfico usados en USA para cambiar semáforos de rojo a verde. En este caso los atacantes eran conductores que intentaban eludir sanciones.
  • 2008 – Sabotaje a la regulación semafórica de los Ángeles. En este caso los atacantes eran empleados en una disputa laboral.
  • 2013 – Túnel de Haifa en Israel que queda inoperativo por un ataque DDoS (Denegación de servicio) generado por una botnet desde las cámaras de vigilancia. En este caso el ataque tenía un nivel superior de sofisticación y se clasificó entre ataque de ciberterrorismo o ciberguerra (conocido como cyberwarfare). Este incidente provocó una revisión de la estrategia nacional de ciberseguridad en Israel.

Riesgos que afectan a los dispositivos IoT

Los dispositivos IoT, al estar conectados, se encuentran al alcance de cualquier individuo que pueda tener interés en obtener un beneficio personal o económico de los fallos de seguridad que puedan tener. Incluso podrían llegar a obtener el control total de estos dispositivos para conseguir objetivos ilícitos.

El caso con mayor relevancia, en este ámbito, es la botnet Mirai. En el caso de Mirai se considera que centenares de miles de dispositivos IoT (principalmente routers y cámaras de videovigilancia) se encuentran infectados y han sido utilizados por quienes tienen el control de esta botnet para ocasionar diferentes ciberincidentes. El mayor ataque de esta botnet se produjo en Octubre de 2016 cuando se ordenó a los dispositivos de esta botnet que atacaran de forma conjunta a la empresa Dyn que gestiona el servicio de resolución de nombres en Internet (DNS) para grandes corporaciones americanas. El incidente causó la caída durante varias horas de servicios como: Airbnb, Amazon, CNN, HBO, Netflix, Paypal, Spotify y Twitter.

¿Cómo podrían afectar estos riesgos a los vehículos conectados y a los dispositivos IoT de la carretera? Se nos ocurren algunos ejemplos:

  • Ataques de DDoS podrían afectar la disponibilidad de vehículos, cámaras de tráfico, sistemas de control de túneles, …
  • Ataques de Ransomware podrían “secuestrar” vehículos
  • Los dispositivos y los vehículos podrían ser incluidos en una botnet que origine ataques a terceros.
  • Suplantación de señales de tráfico.

¿A quién afectarán estos incidentes?

  • A los ocupantes del vehículo
  • A los fabricantes de vehículos
  • A las fuerzas y cuerpos de seguridad pues estará provocando un riesgo real a la integridad de las personas.
  • Al operador de la infraestructura pues afectará a toda la gestión viaria.

Es evidente la necesidad de definir y desplegar una estrategia de ciberseguridad vial que incluya planes de respuesta integrales a futuros incidentes.

Marco normativo

Con la entrada en vigor, en mayo de 2018, del Reglamento General de Protección de Datos (GDPR) y la aprobación del Real Decreto-ley 12/2018, de 7 de septiembre, de Seguridad de las Redes y sistemas de Información (Transposición de la Directiva NIS), las empresas que gestionen este ecosistema se encuentran, entre otras obligaciones, con la necesidad de mantener la diligencia debida para preservar la privacidad de los datos y con el compromiso de notificar los ciberincidentes a las autoridades.

¿Quiénes serán responsables y encargados de los tratamientos? ¿Quién deberá notificar a las autoridades? ¿Los fabricantes de los vehículos, los fabricantes de los dispositivos, los gestores de la infraestructura, los gestores de entornos de big data, …?

Prevención y gestión de riesgos

Los riesgos son intrínsecos a la tecnología IoT, por lo tanto, nunca los podremos eliminar totalmente. Sin embargo, deberíamos reducirlos a un nivel asumible por el usuario final (ya sea una empresa o un particular).

El mercado requiere dispositivos baratos y sencillos. Los fabricantes desean obtener ventajas competitivas y presentar sus productos antes que la competencia. Tanto fabricantes como usuarios priorizan la funcionalidad respecto a la seguridad

Para proteger los dispositivos IoT existen una serie de recomendaciones que deberían ser seguidas por los fabricantes y exigidas por los usuarios finales. A continuación, se muestran las principales buenas prácticas definidas en la “Marca de Garantía de confianza en ciberseguridad para entornos IoT” definida por el Centro de Estudios en Movilidad e IoT de ISMS Forum Spain:

  • Designar un responsable de seguridad del producto en la empresa fabricante.
  • Desarrollar las aplicaciones basándose en estándares de desarrollo seguro.
  • Realizar un análisis de riesgos de ciberseguridad del dispositivo.
  • Realizar una evaluación de impacto en la privacidad.
  • Disponer de un Seguro de Responsabilidad Civil que cubra los riesgos de ciberseguridad y privacidad.
  • Incluir aspectos de ciberseguridad en la garantía.
  • Monitorizar la seguridad del dispositivo y ofrecer parches y actualizaciones durante todo el periodo de vida del producto.
  • Permitir la eliminación de forma segura de la información del producto una vez finalizada su vida útil.
  • Deshabilitar cualquier puerto de comunicación o interfaz que no sea imprescindible.
  • Utilizar protocolos seguros de comunicación que cifren la información y autentiquen a los dispositivos.
  • Disponer de métodos seguros de autenticación con contraseñas gestionadas por el usuario.
  • Políticas de caducidad y complejidad de las contraseñas.
  • Almacenamiento seguro de las contraseñas.
  • Mantener registros de las conexiones realizadas.
  • Protecciones anti-DoS y antimalware.
  • Cumplimiento de la legislación en materia de protección de datos personales.

Referencias

Global Gold Sponsor

A10
logo_Acronis
ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
logo_Cribl
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
delinea
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
elastic
entrust-1421665994898
Logo_ESET
extrahop
f5
fastly
forcepoint
formalize
fortinet1584959160
fujitsu
glueckkanja
group-ib
hashicorp
LOGO_Huawei
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
insside-142x531694532390
Integrity360
Izertis
keyfactor_logo_charcoal
logo_Knowmad
KPMG
Kymatio
kyndryl_logo_R_Black_RGB
leet-security
mandiant
riskrecon-mastercard
microsoft1421636982759
mimecast
netskope1421542790367
logo_Neverhack
nextvision-1421678725138
okta-142x531690371671
onetrust
OpenText
logoox-Security
paloalto1421664436588
logo_Picus
ping-identity
primix-142x531690198289
qualys-subir1520939472
recorderfuture1421636531854
red-sift-142-21668078952
Rubrik
Sailpoint
samsung-subir14912155251502970957
logo_Salesforcepng
saviynt
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelone
sia1613034479
logo_Silverfort
smartfense
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
logo_Synergy
telefonica tech
tenable-142x531690369729-1
Tier8
transmitsecurity
TRC
trustworks
logo_Upwind
wallix
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscale

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.