Con La piratería informática llega a nuestros coches, era inevitable que se creara algún tipo de regulación. Se han producido retiradas de productos de muchos modelos modernos debido a las áreas expuestas en la codificación de los coches conectados actuales, que incluye más de 300 millones de líneas de código en comparación con un Boeing Jet 747, con aproximadamente 75 millones de líneas. Las vulnerabilidades automotrices están en su punto más alto y cabe preguntarse quién está tomando las medidas necesarias.

El 21 de julio de 2015, los senadores Edward Markey y Richard Blumenthal presentaron la primera legislación de su tipo, llamada Ley de Seguridad y Privacidad en su Automóvil (cuya abreviatura es apropiada: Ley de Automóvil SPY). La legislación de los senadores ordena a la Administración Nacional de Seguridad del Tráfico en las Carreteras (NHTSA) y a la Comisión Federal de Comercio (FTC) que establezcan estándares federales que protejan a los autos conectados de hoy. Hasta la Ley de Automóvil SPY, no existía ninguna regulación de los sistemas a bordo de los vehículos.

La Ley de Autos Espías es un anuncio sin precedentes, pero muchos expertos consideran que era hora de que se hiciera. En general, la postura de la industria automotriz en materia de ciberseguridad es nueva y, por lo tanto, débil. No fue solo el reciente hackeo de Fiat-Chrysler Auto, que Forzó miles de retiradas, lo que impulsó la acción. Ha habido numerosos informes de Range Rovers robados por piratas informáticos que se infiltraron en llaveros remotos y se aprovechó una vulnerabilidad en los vehículos BMW, lo que permitió a los piratas informáticos experimentales desbloquear puertas y abrir ventanas a través de BMW's Sistema ConnectedDriveLa amenaza es real y, con el enfoque tripartito de la Ley de vehículos espía, disminuirá. Creo que la industria tendrá un gran desafío para crear un sistema totalmente seguro. Si bien lograr esta hazaña será difícil, es posible con la ayuda del socio adecuado.

Las bases que envuelven la Ley SPY Car desempeñarán un papel fundamental en la creación de un sistema de ciberseguridad a bordo totalmente seguro, que actualmente no existe. Las normas de seguridad y privacidad son los dos elementos fundamentales de la Ley que, en última instancia, conducen a un panel de control cibernético para cada vehículo nuevo. La Ley SPY Car no será la respuesta completa a la difícil ecuación de la ciberseguridad, pero será un primer paso adecuado.

La industria automotriz no es famosa por establecer estándares dentro del vehículo. Dada la afluencia de software incorporado a los automóviles, la industria también ha sido testigo de niveles de fragmentación sin precedentes. Las Normas de Seguridad y Privacidad dentro de la Ley SPY Car abordarán los problemas de fragmentación, al tiempo que brindarán a los fabricantes de automóviles una herramienta mensurable para proteger sus vehículos.

El aumento de las líneas de código de software que básicamente controlan la funcionalidad de un vehículo viene acompañado de un aumento en la cantidad de unidades de control electrónico (ECU). La norma de seguridad de la Ley de vehículos espía se centrará en aquellas ECU que se vinculan directamente a sistemas críticos, por ejemplo, la dirección asistida o los frenos. Esta sección de la Ley se llama Medidas de aislamiento y puede salvar vidas. No se han registrado muertes relacionadas con el pirateo de vehículos y creo que, SI las hay, será con un vehículo que ya está en circulación hoy. Se puede atribuir esta expectativa a la Ley de vehículos espía.

Además de las medidas de aislamiento, la Ley SPY Car obliga a los fabricantes de automóviles a desarrollar una medida de “Detección, notificación y respuesta a ataques informáticos”. Este será el elemento más difícil de seguir de la Ley. Actualmente no existe ningún método probado de seguimiento de vulnerabilidades. Los fabricantes de automóviles tienen ahora la tarea de crear un sistema completamente ajeno. Otro ejemplo más de por qué la colaboración es esencial para cumplir con los requisitos de la Ley SPY Car.

La industria automotriz está en desventaja en comparación con los dispositivos portátiles porque el mundo del automóvil se preocupa por la seguridad y la privacidad. Ahora que el vehículo de hoy es básicamente un ordenador con cuatro ruedas, los datos del conductor también deben protegerse. Además de proteger los datos del conductor almacenados en el vehículo, los conductores tendrán total transparencia sobre los datos del vehículo que los fabricantes de automóviles están recopilando. Se ofrecerán programas de inclusión o exclusión voluntaria y no se realizarán esfuerzos de marketing o publicidad sin el consentimiento del cliente.

Según una investigación de consumidores realizada por la consultora Frost & Sullivan, con sede en Texas, la seguridad es el factor número uno que los consumidores tienen en cuenta al comprar un vehículo nuevo. En el coche conectado de hoy en día, no se puede tener seguridad sin protección, especialmente con todas las ECU necesarias para comunicarse con sistemas críticos. Con los componentes de seguridad y privacidad actuando más como back-end, el Cyber Dashboard estará de cara al consumidor. En un futuro próximo, los compradores de coches no sólo verán la calificación de los vehículos en las pruebas de choque, sino que también verán una calificación de seguridad centrada en lo equipado que está un vehículo para protegerse contra la piratería y el robo de datos.

No es realista pensar que la Ley de Autos Espías será la solución milagrosa para acabar con la piratería de vehículos. Sin embargo, es una base muy necesaria para proteger los vehículos del futuro. La Ley de Autos Espías no solo implementará los estándares de ciberseguridad necesarios, sino que también ahorrará potencialmente miles de millones de dólares en costos de garantía y/o retiradas de productos. Con vehículos notablemente más seguros, los fabricantes de automóviles ahora pueden seguir el ejemplo. El camino de Tesla y comenzar a emitir actualizaciones críticas de firmware por aire (OTA). Casi todos los principales fabricantes de automóviles están utilizando OTA simplemente para actualizar las aplicaciones en el vehículo, pero con canales seguros para emitir OTA a sistemas críticos, problemas como el interruptor de encendido de GM se pueden resolver con solo presionar un botón.

La Ley SPY Car no transformará la industria automotriz tal como la conocemos hoy, pero mejorará drásticamente el modelo de seguridad cibernética. Si bien los fabricantes de automóviles serán los que tomen las decisiones y aprueben en última instancia sus sistemas, la comunidad de seguridad de nicho desempeñará un papel importante en la asistencia para la creación de sistemas. Si bien la colaboración era inevitable, la comunidad de seguridad realmente puede agradecer al gobierno por la Ley SPY Car y los contratos de desarrollo de sistemas incluidos que vendrán con ella.

El enfoque de tres partes de la ley es el primer paso para crear un sistema totalmente seguro, y el Cyber Dashboard es un buen detalle que incluye al consumidor en el proceso. Era necesario tomar medidas, y el gobierno intervino. Todavía no se han perdido vidas, pero un hacker solo necesita acertar una vez.