En PwC México somos líderes responsables, comprometidos con la comunidad, el cuidado del medio ambiente y nuestra gente, quien vive la diversidad e inclusión como parte de la cultura de PwC.© 2017 PricewaterhouseCoopers, S.C. Todos los derechos reservados.

Fernando RománSocio Líder Cybersecurity & Privacy Solutions en Risk Assurance Méxicofernando.roman@mx.pwc.com+52 (55) 5263 5898

Yonathan ParadaSocio Cybersecurity & Privacy Solutions en Risk Assurance Monterreyyonathan.parada@mx.pwc.com+81 8881 4106

Juan Carlos CarrilloDirector Cybersecurity & Privacy Solutions en Risk Assurance Méxicocarlos.carrillo@mx.pwc.com+52 (55) 5263 2359

El automóvil conectadoPreguntas sobre ciberseguridad y privacidad en la industria automotriz

En esta era de la transformación digital, los autos son ahora otro dispositivo conectado. En el automóvil de hoy, los conductores buscan hacer todo desde los teléfonos celulares accesando a los datos almacenados como el reproducir música y hacer llamadas, obtener ayuda para planificar una ruta por medio del GPS y actualizaciones de tráfico. Una red de sensores de computadora controla las características tales como el frenado de emergencia, asistencia de estacionamiento y monitores de presión de neumáticos.

Sin embargo, los hackers son capaces de tomar el control de un automóvil como la dirección y los frenos en un entorno de prueba, los fabricantes de automóviles deben tratar las vulnerabilidades de seguridad cibernética como un problema de seguridad crítica. A medida que un vehículo se vuelve cada vez más autónomo en las próximas décadas, las preguntas sobre la seguridad irán incrementando.

Hay grandes preguntas que abordar: ¿El costo de la seguridad de un auto será soportado por los proveedores o fabricantes de automóviles, y cuánto de ese costo se puede transmitir a los consumidores? ¿Cómo pueden los fabricantes de automóviles obtener actualizaciones de software para corregir las vulnerabilidades en los vehículos de una manera cómoda y segura, y sobre un ciclo de vida del producto que podría extender décadas y múltiples propietarios? ¿Quién tiene acceso y es propietario de los datos recopilados por los dispositivos en el auto, y cómo pueden los conductores mantener la privacidad?

Estos son los aspectos claves de seguridad cibernética y privacidad para la industria automotriz:

¿Dónde están las vulnerabilidades?

Largo ciclo de vida del productoEl ciclo de vida del desarrollo del producto para un automóvil nuevo es de cinco a 10 años, y la conectividad del coche es tan reciente que los fabricantes están jugando a ponerse al día. Sin embargo, el ciclo de vida de un auto en la carretera es de 12 a 20 años por encima de ese ciclo de desarrollo, y durante todo ese tiempo el fabricante de automóviles debe proporcionar piezas y ser capaz de actualizar el software del coche como defectos de seguridad que irán surgiendo.

Si bien un ordenador típico de un centro de datos puede actualizarse mensualmente para su seguridad, es posible que un vehículo no regrese a un concesionario durante varios años, especialmente hacia el final de su ciclo de vida. Así que la pregunta es, ¿El conductor tiene que ir a un concesionario para obtener una actualización de software, un propietario o terceros podrán hacer actualizaciones, o se puede acceder al vehículo de forma remota? ¿Cómo manejan los fabricantes y proveedores los riesgos de hacerlo?

Intimidad:3 riesgos y 3 soluciones

Rie

sgos

Solu

cion

es

Normas de seguridad cibernética poco clarasTodavía no hay normas claras sobre los requisitos de ciberseguridad para los fabricantes de automóviles. Hay grupos de intercambio de información, en los que la industria se está uniendo para decidir quién establece el estándar: ¿Son los fabricantes o los proveedores? ¿Quién entiende el riesgo desde la perspectiva del "auto completo"?

¿Podría la seguridad ser un diferenciador?Algunos proveedores están tratando de salir adelante y ser un "proveedor preferido" por razones de seguridad. Sin embargo, para los propios fabricantes de automóviles, la seguridad adecuada o buena es una expectativa mínima del consumidor. Además, afirmar que cualquier modelo es el más seguro es "pintar un objetivo en la espalda", dice Wiggins.

Grabación de conversaciones y actividad del automóvil sin el conocimiento del conductor

Compartir información con terceros, tales como compañías de seguros o minoristas, sin el conocimiento del

conductor

Almacenamiento indefinido de información de conductor y

automóvil, aumentando los riesgos de un eventual compromiso

Pueden los ajustes de privacidad ser cuidadosos con la intimidad del conductor ya sea por defecto o

diseño - por ejemplo, los ajustes que se apagan automáticamente o

activar deliberadamente cualquier recopilación de datos o compartirlos

por parte del conductor

Asegurar que los usuarios son conscientes de cualquier

intercambio de información con terceros, en particular la información

que identifica al conductor

Cifrar los datos personales identificables del conductor por un período de tiempo preestablecido

hasta su supresión

Asegurando la privacidad beneficios para el fabricante de automóviles"Con la privacidad por diseño, los conductores se sentirán más en control de cómo las nuevas características de su coche utilizan su información personal", dice Jay Cline, líder de privacidad de EE.UU., PwC. "Las tasas de adopción de las funciones conectadas aumentará, y los fabricantes de automóviles que mejor fomentar la confianza del conductor será capaz de aprovechar más rápidamente la información del controlador para innovar y personalizar las características conectadas a las preferencias personales de los conductores".

Valor total estimado de las clases de autos vendidos

a clientes en todo el mundo1

Modelos Modelos de volumen Premium

201752.500

billones de dólares

2022155.900

billones de dólares

Bluetooth

USB

Sensoresde freno ydirección

Monitorde presión

de neumáticosmediante ondas

de radio

Conexión dedispositivo móvil

Cadena de suministro

Los vehículos de diferentes fabricantes parecen sustancialmente diferentes, pero los componentes del nivel CAN son muy a menudo los mismos y funcionan

con las mismas tecnologías.

"Nadie quiere soportar los costos de configuración del diseño y fabricación de nuevos componentes que

beneficiarán a todos. Para los componentes utilizados por los fabricantes de automóviles múltiples, la colaboración será necesaria "

Larry Wiggins,Director de Ciberseguridad,

PwC

Una serie de vías permiten el acceso remoto al auto:

También hay una red de área local para el vehículo, llamada CAN, o la red de área del controlador.Todos los dispositivos (sensores, conexión Bluetooth, etc.) en el vehículo que forma parte de esta red tienen acceso sin autorización.

"La CAN fue diseñada cuando el acceso fue concedido a dispositivos físicamente conectados al vehículo, por lo que no se necesitaba autenticación", dice Larry Wiggins, Director de Seguridad Cibernética de PwC.

"Sin embargo, a medida que los vehículos se interconectan, los sensores remotos están eliminando el requisito de conexión física y el control de acceso es necesario. Los fabricantes están trabajando en formas de autenticar dispositivos usando diferentes criptografías".

¿De dónde provienen

las amenazas cibernéticas principales?

• Hacktivistas, que pueden causar daño a la marca.

• La amenaza terrorista, en la que los actores de la amenaza se dirigen a los automóviles para causar el caos con un cierre masivo en una ciudad importante durante la hora pico. También: ataques

a coches diplomáticos y de gobierno.

• Ganancia financiera, o el robo de información de pago

dentro del vehículo; Ransomware.

¿Quién es responsable de una violación?

Independientemente de qué componente puede ser en última instancia responsable

de la violación, es la marca de automóviles quienes serán más reconocidos y pagaran el costo

de la opinión pública.

En lugar de calificar la seguridad de los vehículos

conectados como una cuestión de seguridad o tecnología, debe ser enmarcada

como un problema de confiabilidad. En última instancia, las vulnerabilidades cibernéticas

harán que los vehículos no sean confiables, por lo que el estándar que usted tiene para un motor

también debe ser el estándar para comunicaciones de radio, o un componente digital que controla la

dirección o el frenado. Los proveedores deben tratar estas vulnerabilidades como un defecto

del producto y remediarlas.

Rik Boren,Socio, PwC,