Según una investigación global, la cuota de mercado de los vehículos sin conductor y altamente automatizados está creciendo a toda velocidad. Los analistas estiman que, en los próximos diez a quince años, veremos un cambio importante y los proyectos piloto darán lugar a la adopción masiva del transporte autónomo. Ya hay señales en ese sentido alrededor del mundo: Europa ha desplegado más de treinta y cinco pruebas piloto de vehículos autónomos, mientras que en EE. UU. y China se realizan más de 450 000 y 250 000 viajes comerciales, respectivamente, cada semana. Sin embargo, el informe destaca varios obstáculos que ralentizan el progreso. Una de estas trabas es la incertidumbre en cuanto a la responsabilidad legal y las regulaciones, en especial en lo referente a la protección y la seguridad. Definir quién es responsable de qué ―proveedor, fabricante, cliente empresarial o usuario final― es aún objeto de amplio debate.
Cada actor del mercado ve la cuestión de garantizar la seguridad de los vehículos autónomos de manera diferente. Para las fabricantes de vehículos, la preocupación está en responsabilizarse por el comportamiento del automóvil en la carretera y por aprobar a sus proveedores. Para los proveedores, la cuestión está en diseñar mecanismos de seguridad que formen parte integral de su arquitectura de soluciones en garantizar que sean adecuados. Para las compañías de seguros, el tema está en hacer una revisión total de sus modelos de riesgo para que se tengan en cuenta no solo los accidentes, sino también los posibles ciberataques y problemas de software. En última instancia, todos coinciden en un punto fundamental: la seguridad debe ser una característica básica del vehículo, no un opcional.
Garantizar la seguridad vehicular en la era moderna
Durante años, las discusiones sobre la seguridad del automóvil se centraron estrictamente en la seguridad funcional. En otras palabras, el objetivo era garantizar que los sistemas del vehículo funcionaran correctamente y que los riesgos asociados con posibles fallas se mitigaran por completo o se redujeran a un nivel aceptable. La norma ISO 26262, “Vehículos de carretera: Seguridad funcional”, ayuda a abordar este desafío y sirve como punto de partida para la industria automotriz.
Sin embargo, el vehículo conectado moderno es un sistema ciberfísico complejo que almacena y procesa cantidades masivas de datos, entre los cuales hay información confidencial. Y esto da lugar a nuevas necesidades básicas. Para hacer una analogía con dos niveles de la jerarquía de necesidades de Maslow, un vehículo moderno debe cumplir lo siguiente:
- Debe satisfacer la necesidad de “reconocimiento”, es decir, el vehículo debe almacenar de manera segura y confiable los datos que conforman el perfil del usuario, como las credenciales de cuenta, los datos biométricos y los datos de pago.
- Debe satisfacer las necesidades cognitivas del usuario. El vehículo debe brindar una conexión segura a Internet, transmitir telemetría del vehículo y enviar recordatorios para realizar mantenimiento programado o de emergencia.
Para permitir todo esto, los vehículos deben venir equipados con una amplia gama de interfaces (telemática, Bluetooth, Wi-Fi, conectividad celular, actualizaciones OTA y V2X), lo cual abre la puerta a ataques remotos. Así, se vuelve necesario garantizar no solo la seguridad funcional, sino también la seguridad de la información del vehículo. Como resultado, en la mayoría de los países han surgido estándares especializados del sector que ayudan a abordar los desafíos de la ciberseguridad automotriz. Los estándares internacionales clave son ISO/SAE 21434 (“Vehículos de carretera: Ingeniería de ciberseguridad”), UNECE R155 y UNECE R156.
Las normativas chinas también están evolucionando. En 2024, el país publicó la norma nacional GB 44495-2024, “Requisitos técnicos para la ciberseguridad de los vehículos”, que entró en vigor el 1 de enero de 2026. El documento presenta requisitos obligatorios para la ciberseguridad para los vehículos, como ser la protección de las comunicaciones, la gestión de eventos de seguridad, el monitoreo de amenazas y la interacción segura del vehículo con la infraestructura externa.
Comprender y aplicar estos estándares se está volviendo absolutamente crítico. Las investigaciones muestran que los riesgos de ciberseguridad aumentan a diario, y su impacto en la seguridad funcional a veces puede dar lugar a incidentes mucho más graves que una falla interna del sistema. ¿Qué sucede si un atacante obtiene acceso al sistema de control remoto de un camión autónomo, por ejemplo, o si consigue actualizar una unidad de control electrónico crítica durante una sesión de diagnóstico no autorizada?
Un componente clave para mitigar estos riesgos es el gateway de seguridad. Esta separa la arquitectura del vehículo en varios dominios aislados, organizados en función de su criticidad, al tiempo que proporciona funciones seguras de enrutamiento, filtrado y control de tráfico. Lograr este tipo de solución de software es, precisamente, lo que nuestro equipo busca al desarrollar Kaspersky Automotive Secure Gateway, basada en KasperskyOS.
¿Por qué Kaspersky Automotive Secure Gateway?
El objetivo principal de Kaspersky Automotive Secure Gateway (KASG) es proteger el dominio CAN del vehículo, pues el bus CAN se utiliza para transmitir una gran cantidad de comandos de control críticos. Esto afecta a casi el 80 % de las unidades de control electrónico dentro del automóvil, las cuales se encargan de controlar el motor, el frenado, la electrónica de la carrocería y más. Debido a esto, abordamos la ciberseguridad desde el punto de la seguridad funcional: nuestra arquitectura unificada tiene en cuenta los requisitos tanto de la primera como de la segunda clase de seguridad.
Para aclarar el panorama, tomemos el caso de los mecanismos estándar de protección de extremo a extremo (E2E) que se usan para mitigar los riesgos asociados con los mensajes CAN que se pierden, desordenan o alteran en el camino. Estos mecanismos no fueron diseñados para contrarrestar ciberataques selectivos. Si un atacante logra construir una trama maliciosa que respete formato E2E requerido, el sistema podría tomarla como válida.
Así, aparece una nueva consideración: se debe verificar no solo que el mensaje se entregue sin errores, sino también que haya sido generado por una unidad de control electrónico (ECU) de confianza y que no se haya modificado en tránsito. Esto es de vital imoportancia para la transmisión de comandos de control, como los que se envían al sistema de frenado del vehículo, o para la implementación de sistemas de entrada sin llave (NFC).
Para abordar ese desafío, existen mecanismos de comunicación segura a bordo (SecOC) que pueden integrarse en la arquitectura del vehículo. A través de métodos criptográficos, estos mecanismos verifican la autenticidad e integridad de los mensajes y protegen al sistema contra ataques de falsificación y reproducción de mensajes. KASG implementa estos mecanismos, que, además de la verificación de mensajes, realizan la crucial función de administrar claves en forma centralizada. Esto permite que las claves de cifrado se distribuyan y actualicen desde un único punto del vehículo, lo que reduce tanto el costo como la carga de procesamiento para las ECU involucradas en el intercambio de datos respaldado por mecanismos SecOC.
IDS automotriz
Aun así, en sistemas complejos, no basta con aplicar mecanismos de seguridad únicamente a mensajes individuales o segmentos de red separados. Es vital monitorear y controlar la totalidad del vehículo para detectar anomalías en el comportamiento, interacciones inusuales entre dominios e intentos de manipulación no autorizados. En el ámbito de las tecnologías de la información, esto se conoce como sistema de detección de intrusiones (IDS). Estos sistemas también han sido adoptados por la industria automotriz.
Al mismo tiempo, es importante darse cuenta de que, para un vehículo moderno, un IDS no es un único punto mágico de recopilación y análisis de datos: el automóvil necesita un sistema de monitoreo distribuido. El monitoreo se lleva a cabo en varios niveles de la arquitectura: dentro de cada dominio, en el nivel de cada controlador y en los límites de red.
El gateway de seguridad se convierte en un punto de supervisión crítico porque toda interacción entre dominios pasa por ella. El gateway, además, permite ver el intercambio de datos entre los diferentes segmentos de la red del vehículo. Su trabajo es detectar comportamientso anormales y generar eventos de seguridad.
Cuando se trata de la supervisión del dominio CAN implementada en KASG, el IDS considera los siguientes criterios para el análisis de tráfico:
- alineación de parámetros de los mensajes CAN (CAN ID y DLC) con sus descripciones en la especificación DBC,
- frecuencia y periodicidad de los mensajes CAN,
- rangos permitidos para las señales CAN.
Aun así, en la práctica, hay una limitación importante que queda clara: incluso con un IDS integrado, se requiere de contexto adicional para determinar las características exactas de un ataque. Además, cuando se operan vehículos altamente automatizados, en un contexto en el que el monitoreo de toda la flota es esencial, el análisis aislado es intrínsecamente insuficiente.
Conectar el vehículo al SIEM
El monitoreo multiobjeto, la correlación de datos y el análisis de datos se pueden manejar de manera eficiente en forma externa, específicamente desde un sistema SIEM (siglas en inglés de “gestión de eventos e información de seguridad”). Los SIEM son componentes tradicionales de los centros de operaciones de ciberseguridad corporativas e industriales. Por lo tanto, utilizar un SIEM para toda una flota es un paso lógico que permite lo siguiente:
- recopilar eventos de seguridad de varios vehículos,
- correlacionar eventos a lo largo del tiempo y en distintos contextos,
- detecta ataques avanzados y distribuidos,
- facilitar la auditoría y la investigación de incidentes,
- responder a incidentes individuales y gestionar los riesgos cibernéticos de toda la flota.
Al realizar una integración con un sistema SIEM externo, se deben abordar varias tareas críticas: garantizar una conexión segura, ajustar el proceso de transmisión de los eventos de seguridad y establecer reglas básicas para el procesamiento y la correlación de los eventos. Estamos trabajando para superar todos estos desafíos usando nuestro propio sistema SIEM, Kaspersky Unified Monitoring and Analysis Platform, como “plantilla”.
Aún quedan muchos problemas por resolver. En este artículo, tratamos solo una fracción de los enfoques que se usan actualmente en KASG para garantizar la seguridad de los vehículos. Sin embargo, incluso esta pequeña parte demuestra que la seguridad automotriz no se puede conseguir resolviendo un solo problema o aplicando un solo mecanismo. La seguridad requiere un enfoque que permita el desarrollo metódico de una arquitectura, en la que estén en equilibrio los diversos requisitos de funcionalidad, seguridad y fiabilidad vehicular.