Los primeros vehículos conectados aparecieron a medios de los años 90, paralelamente al desarrollo de las redes celulares comerciales. Al principio tenían funciones muy básicas, como una conexión directa con voz con los servicios de emergencia. Posteriormente fue añadida una de sus funciones clave: la localización GPS para compartir la ubicación exacta del vehículo.
Hoy en día son una realidad cada vez más extendida: Statista estima que para el año 2020 habrá 83 millones de vehículos conectados. En este sentido, aunque cada vez más vehículos particulares llevan algún tipo de tecnología conectada, son las empresas con sus flotas las que más se benefician de estas tecnologías, gracias a los datos telemáticos proporcionados por los puertos OBD (On-Board Diagnostics) de los vehículos.
Vectores de ataque: desde los puertos OBD a la plataforma de gestión
Los puertos OBD fueron originalmente diseñados para registrar las emisiones de gases, pero ahora proporcionan todo tipo de datos, que abarcan desde la ya mencionada ubicación del vehículo, a parámetros de la conducción (velocidad, aceleración, etc.), peso y tipo de carga y el estado de sus componentes mecánicos. Estos datos se envían, generalmente a través de redes celulares desde una tarjeta SIM, a una plataforma centralizada que maneja el gestor de flotas de la empresa a través de una interfaz. De esta manera, el gestor controla en tiempo real la posición de sus vehículos, su estado y el de su carga y sus rutas. Así, puede optimizar las rutas para ahorrar tiempo y combustible y tomar decisiones que mejoren las operaciones de sus flotas.
Ahora bien, los puertos, las telecomunicaciones y las plataformas centralizadas plantean varias cuestiones en materia de seguridad de las flotas: ¿Quién debe acceder a esos datos? ¿Y a los dispositivos? ¿Son seguras las comunicaciones? ¿Y la plataforma? Si los bienes transportados por los vehículos son valiosos, tener la ubicación, carga y las rutas de cada vehículo es un objetivo deseable para posibles ladrones. Por ejemplo, si acceden a los datos de una compañía de transporte de dinero en efectivo podrían conocer con exactitud cuándo va a hacer la carga el furgón en el banco y conocer qué puntos de su ruta son más vulnerables para atacar el vehículo.
En cualquier caso, no hace falta pensar en escenas cinematográficas de espectaculares asaltos a furgones blindados para que el cibercrimen perjudique a una compañía con flotas de vehículos. En Texas, un exempleado de una compañía de venta y alquiler de automóviles buscó venganza contra su antigua empresa y logró inmovilizar simultáneamente 100 vehículos de clientes, ya que los vehículos conectados disponían de un sistema de control centralizado para bloquear el vehículo en caso de impago. Además, un software malicioso que afectara a la plataforma ya de por sí podría perjudicar seriamente a las operaciones de la empresa con su flota de vehículos: puede resultar en retrasos o errores en las rutas de los vehículos que generen pérdidas económicas o que incluso pongan en riesgo la seguridad de los conductores.
Medidas para proteger tu flota de vehículos
Entonces, ¿cómo podemos proteger nuestras flotas de vehículos del cibercrimen? La Asociación de Gestores de Flotas NAFA hace varias recomendaciones que pueden resumirse en:
- Asegurar el acceso a los puertos de los vehículos: es la vía de entrada principal a los datos de cada vehículo y por ello, su acceso debería estar restringido a profesionales de confianza y a un proveedor telemático que aporte plenas garantías.
- Cifrado de las telecomunicaciones: el proveedor de la solución telemática no debe dejar la seguridad del envío de los datos exclusivamente en manos del operador de telecomunicaciones y ha de garantizar que los datos enviados están encriptados de punto a punto.
- Desarrollo de una política interna de privacidad de los datos: las empresas deben establecer normas de obligado cumplimiento para la protección de los datos sensibles de la flota de vehículos y deben abarcar todas las áreas: desde el acceso a los puertos hasta la gestión de la plataforma, solo por personas autorizadas y mediante el uso de contraseñas seguras.
- Protección de la plataforma: el software de la plataforma de gestión de flotas ha de estar actualizado y protegido frente a todo tipo de ataques maliciosos que provengan del exterior y puedan poner en riesgo los datos de la flota de vehículos mediante soluciones y medidas de ciberseguridad efectivas.
De las cuatro recomendaciones, probablemente la más crítica sea la protección de la plataforma, ya que de ella depende la totalidad de la flota de los vehículos y la información de las rutas y cargas. En este sentido, las empresas deben buscar soluciones de ciberseguridad avanzada que tengan plena capacidad de prevención, detección y respuesta ante cualquier tipo de riesgo y que actúen con rapidez para mitigar los daños en caso de problemas.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
