in

Los ciberdelincuentes están apuntando a la infraestructura de automóviles en red



A medida que los automóviles se vuelven más conectados, están surgiendo una multitud de ataques: los ladrones de automóviles abusan de los sistemas de entrada sin llave, los piratas informáticos están encontrando nuevas formas de explotar los componentes de los vehículos y el fraude apunta a la financiación de los automóviles, dijeron expertos en ciberseguridad de la industria automotriz en entrevistas esta semana.

En septiembre, por ejemplo, la policía de Nueva York allanó una red de robo de autos que supuestamente robó autos con llaveros clonados basados ​​en códigos de seguridad comprados en línea y codificados en un dispositivo por un cerrajero local. También utilizaron una herramienta de escaneo del mercado de accesorios que generalmente usan los mecánicos para reprogramar el encendido de los automóviles seleccionados para hacerles creer que se han perdido todas las llaves.

El aumento del robo electrónico es solo una consecuencia involuntaria de la rápida adopción de software conectado en el sector automotriz, dijo Guy Molho, vicepresidente de productos de Upstream, un proveedor de servicios de ciberseguridad para la industria.

«Los fabricantes de equipos originales (OEM) de automóviles están tratando de brindar muchas funciones nuevas a sus clientes, y estas son nuevas superficies para los piratas informáticos y los vectores de ataque», dice. «Esta área simplemente crecerá porque ya no es solo un automóvil, es una plataforma de software sobre ruedas».

Bienvenido al futuro de los coches conectados. Los peligros potenciales se extienden más allá de los presuntos ladrones de automóviles digitalizados en la ciudad de Nueva York. En el Reino Unido, otro grupo utilizó un dispositivo similar a Game Boy para engañar a sus sistemas de entrada sin llave y robar más de 30 Mitsubishi Outlanders en menos de tres meses, según otro informe.

Una variedad de otros ataques, desde ransomware que paraliza a fabricantes de automóviles como Renault y Honda hasta un investigador de sombrero blanco que puede controlar remotamente a Tesla hasta cierto punto, muestran que la conectividad que permite que los autos de alta tecnología brinden nuevas funcionalidades, también un aumento masivo en su superficie de ataque. En 2020, el 54,6% de esos incidentes involucraron a un pirata informático de sombrero negro, mientras que la mayoría de los demás investigadores de sombrero blanco participaron, según datos anteriores. Un porcentaje pequeño pero creciente son propietarios que examinan sus propios vehículos.

Y el número de coches conectados sigue creciendo. Alrededor de una cuarta parte de los automóviles están conectados actualmente a una red de alguna manera. Siete de los ocho vehículos estarán conectados para 2025.

«Las amenazas cibernéticas en el ecosistema automotriz son particularmente preocupantes debido a su posible impacto directo en la seguridad de los usuarios de la carretera», dijo Upstream en su «Informe global de ciberseguridad automotriz» anual. “Los vehículos en sí mismos pueden ser peligrosos; junto con la conectividad, el vehículo moderno es especial [dangerous]. «

El incidente de seguridad más famoso que involucró a un automóvil es el hackeo de Jeep Cherokee de 2015 que permitió a Charlie Miller y Chris Valasek tomar el control de los llaveros o la entrada sin llave de un automóvil (25%) y los ataques dirigidos a aplicaciones automotrices para dispositivos móviles apuntan (9%). Los ataques que tienen como objetivo el sistema de información y entretenimiento, el puerto de diagnóstico a bordo (OBD) o la red de TI de un fabricante representan el 6% de todos los casos.

De cara al futuro, los intentos de compromiso masivo se volverán más comunes, apuntando a componentes de la infraestructura en red, dice Tomer Porat, analista senior de Upstream.

«Los vectores de ataque serán los servidores y aprovecharán las vulnerabilidades en la infraestructura de TI del OEM», dice. Si bien algunos de los problemas provienen de un diseño deficiente, otros son causados ​​por errores humanos, según Porat. «Los desarrolladores a menudo cometen errores, publican información confidencial en GitHub y otros lugares públicos y exponen la infraestructura».

El ecosistema automotriz también está plagado de fraudes financieros, dice Frank McKenna, estratega jefe de fraude y cofundador de Point Predictive, una compañía que brinda herramientas para combatir el fraude financiero. Los estafadores, los consumidores e incluso los comerciantes suelen jugar de forma rápida y sencilla con las solicitudes de préstamos para automóviles para garantizar las ventas. Aproximadamente el 80% del fraude crediticio se comete para que un consumidor califique para un préstamo de automóvil; Alrededor del 20% son delincuentes que intentan obtener ganancias, dice McKenna.

«En el momento en que un consumidor le dice que está ganando el doble de dinero de lo que realmente gana al mentirle sobre hechos esenciales, eso es una estafa», dice. «El fraude puede costar a los prestamistas de automóviles entre 50 puntos básicos y el 3% si un prestamista no tiene buenos controles».

Después de todo, la cantidad de datos producidos y consumidos por los automóviles conectados ha aumentado significativamente. Un vehículo moderno conectado generará gigabytes de datos todos los días, lo que es un problema para los controles de seguridad, dice Molho de Upstream.

“Los automóviles producen tantos datos que la mayoría de los vehículos conectados tienen conectividad 5G para soportar la cantidad de datos”, dice. «Con las actualizaciones inalámbricas, siguen obteniendo nuevas funciones y los datos siguen creciendo».

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

¿Qué es exactamente Secure Access Service Edge (SASE)?

Snake malware muerde con fuerza 50 aplicaciones por solo $ 25