Pruebas de estrés para la ciberseguridad automotriz
El sector automotriz está acostumbrado a someter a los equipos a pruebas extenuantes para garantizar que puedan soportar entornos difíciles y casos de uso exigentes. Por ejemplo, en Aptiv utilizamos hornos especializados para ver cómo toleran los componentes las altas temperaturas y realizamos pruebas de estrés por flexión para ver cómo aguantan los cables de carga bajo un uso intensivo. Aportamos la misma mentalidad minuciosa a la ciberseguridad y utilizamos pruebas de penetración para encontrar vulnerabilidades en nuestros sistemas.
El llamado "white-hat hacking" es habitual en ciberseguridad, pero las pruebas de seguridad en vehículos presentan ciertos retos, dado que son móviles y dependen de diversas tecnologías inalámbricas para conectarse con el mundo que les rodea.
Por ejemplo, podríamos querer probar cómo responde un vehículo concreto a una señal de GPS falsificada. Podríamos utilizar un generador de señales para emitirlas, pero sin las debidas precauciones, se correría el riesgo de interferir con cualquier cosa cercana a la instalación de pruebas que utilice una señal GPS para orientarse.
Imagínate que los camiones de reparto se desviaran, que los teléfonos de los coches que pasaran por allí dijeran de repente a sus propietarios que estaban en otro continente, o que los aviones que pasaran por encima se vieran momentáneamente interrumpidos.
Para realizar pruebas en vehículos sin afectar al entorno de nuestras instalaciones, Aptiv ha instalado una de las mayores jaulas de Faraday comerciales de Norteamérica. Una jaula de Faraday es un contenedor hecho de malla metálica que bloquea eficazmente la radiación electromagnética para que no entre ni salga.
Todo nuestro laboratorio de ciberseguridad de 8.200 pies cuadrados en Troy, Michigan, está encerrado en la jaula de Faraday. Las puertas del laboratorio contienen conductores metálicos que entran en contacto con los marcos de las puertas, los panales metálicos continúan la jaula a través de las rejillas de ventilación, las láminas metálicas se encuentran debajo de las alfombras y un tejido de malla metálica forma una tienda de campaña sobre el techo. Podemos introducir un vehículo en el laboratorio a través de la puerta del garaje y lanzarle todo tipo de señales -GPS, celular y Wi-Fi, incluidas las utilizadas en las aplicaciones V2X (vehicle-to-everything), sin preocuparnos de que esas señales se escapen de la instalación.
Nuevas fronteras
Probar las comunicaciones inalámbricas es una de las misiones del laboratorio, pero también alberga una serie de herramientas que nos ayudan a mejorar la ciberseguridad de nuestros productos. Una de ellas es una máquina de rayos X que nos permite ver el interior de un microchip e identificar las vulnerabilidades físicas, incluidas las herramientas de desarrollo como los puertos de depuración que no deberían incluirse en las placas de producción. Otra es un laboratorio forense, con el que podemos examinar el hardware y el software si algo va mal para determinar la causa. Y, por supuesto, tenemos herramientas para garantizar que cualquier software que creemos adopte una postura de "asumir el daño" con defensa en profundidad.
Para utilizar estas herramientas en todo su potencial, hemos reunido a un grupo de expertos muy diverso. La ciberseguridad en el sector automotriz es una profesión incipiente, por lo que hemos contratado a personas con experiencia no sólo en ciberseguridad informática, sino también en áreas como la justicia penal, para que nos ayuden en la investigación forense, y la física, para que nos ayuden en la ingeniería inversa del hardware. Empleamos a expertos en inteligencia de amenazas para que vigilen las que puedan afectar a nuestros equipos, y aprovechamos a los profesionales de la ciberseguridad del sector financiero para aprender de sus mejores prácticas.
La ciberseguridad en el sector del automóvil es muy diferente de la ciberseguridad en el sector de la informática y requiere un enfoque diferente. En el caso de la tecnología de la automoción, no existe la opción de interrumpir el soporte después de, por ejemplo, tres años. Los fabricantes de automóviles tienen que pensar en dar soporte a los sistemas integrados durante 10 o incluso 20 años después de la producción para garantizar su seguridad permanente. Teniendo esto en cuenta, nuestro equipo seguirá colaborando estrechamente con los fabricantes de equipos originales a través de laboratorios como el de Troy durante las próximas décadas.