Con la proliferación de vehículos cada vez más tecnológicos y conectados, es seguro decir que la vulnerabilidad de los mismos también es más alta que en modelos más viejos. Porque, paralelamente a la velocidad a la que aparecen nuevos coches con sofisticadas entrañas digitales, crece nuestra dependencia tecnológica y, por lo tanto, el riesgo de recibir ciberataques profesionales con virus informáticos y fines poco cristianos.
Cuantos más datos personales introducimos en Internet y cuanto más conectados estamos, ya sea en el hogar, el móvil o en el coche, más probable es que seamos víctimas de alguna forma de ciberdelincuencia o de ciberataque. Hoy, la ciberdelincuencia está mucho más preparada y es más dañina que nunca. Los denominados “crackers” pueden de hecho modificar a distancia el software de un vehículo, algo que sin duda preocupa a los fabricantes.
Tal y como ha recogido Eurocybcar –que cuenta con una base de datos con todos los ataques contra vehículos producidos desde 2012–, el ciberdelincuente puede usar el sistema Bluetooth para que, cuando se vinculen el teléfono y el vehículo, pueda obtener un volcado de tus datos e información personal, emplearlo para conocer tu posición y espiarte, acosarte o suplantar tu identidad. Incluso puede atacar el e-call (o sistema de llamada de emergencia) para evitar que te asistan en caso de accidente.
Además, el atacante puede activar o desactivar los airbags, tomar el control de la dirección y los frenos para provocar un accidente o proporcionarte información falsa a través del GPS o del sistema RDS de la radio. Y eso, por no hablar de las apps, cada vez más comunes, con las que el usuario puede controlar desde su móvil y a distancia diversas funciones del coche, pero que podrían permitir a un “cracker” espiar a un usuario, acceder a bases de datos de la marca y, en última instancia, arrancar a distancia.
Hay que mencionar también a los coches autónomos o eléctricos, con los que se abren nuevas formas de ataque. Por ejemplo, al sistema eléctrico o al punto de recarga para provocar desde una costosa avería o robar, hasta causar un incendio con el consiguiente riesgo mortal. Desde esta perspectiva también surgen algunas preguntas, como quién es el último responsable ante una posible vulnerabilidad en nuestro coche. ¿Sería el fabricante del mismo o el suministrador del equipamiento “violado”?
Desde Cesvimap, su director, José María Cáncer, responde acerca de si algún día nuestro coche conectado será absolutamente infranqueable, y es contundente: “Con riesgos que evolucionan tanto y tan rápido, no creemos que se pueda bloquear nunca completamente el riesgo, pero sí conocerlo, informar, formar y actuar para reducirlo”. En definitiva, se espera que más de 700 millones vehículos conectados circulen por las carreteras en 2030 y la industria se prepara para que no sean objetivo sensible a los ciberataques.
¿Cuáles son los elementos más atacados del coche?
Según recoge la Dirección General de Tráfico (DGT), HackeCar, un medio online especializado en motor y ciberseguridad, advierte que “el ciberataque más común en todo el mundo tiene como protagonista al sistema keyless –que permite acceder y arrancar un coche sin necesidad de sacar la llave del bolsillo o bolso–, para robar el vehículo o lo que haya en su interior”. Otro punto que preocupa son los ciberataques a las estaciones de carga de vehículos eléctricos, que deriva en el robo de información, suplantamiento o incluso provocar averías.
A continuación, dejamos los elementos de los coches modernos que más tienden a recibir ciberataques:
- Sistema de acceso sin llave: 47 %
- Servidores: 17 %
- Aplicaciones móviles: 6 %
- Sistemas de información: 4 %
- Unidad de control del motor (ECU): 4 %
- Sistemas de infoentretenimiento: 4 %
- Puertos de comunicación entre unidades de mando: 4 %
- Bluetooth: 2 %
¿Cuáles son las recomendaciones para evitar los ciberataques hacia el coche?
Tomar conciencia: no existe el coche 100 % inmune. Dependiendo del grado de digitalización de nuestro coche, este será más o menos vulnerable, por lo que la única forma de evitar algún ataque es estar pendiente de todos los sistemas y verificar que funcionan como debiesen.
Tener el software actualizado: la mayoría de las veces, las actualizaciones se lanzan para cubrir brechas de ciberseguridad. Si mantienes el software de tu coche actualizado con las versiones proporcionadas por el fabricante, correrás menos riesgos de ser hackeado.
Escanear antes de conectar: los dispositivos USB son los caballos de Troya más comunes en el momento de instalar un software malicioso. Por eso es indispensable pasar el antivirus hacia cualquier dispositivo USB antes de conectarlo al coche.
Apagar las funciones de conectividad: todas las conexiones son puertas de entrada y salida para elementos maliciosos. Por eso, desconecta el Wi-Fi y el Bluetooth cuando no lo uses, así como no olvidarte de controlar a quién ofreces (que lo más seguro es no hacerlo) los servicios de conectividad del tu coche.
Tener cuidado con las descargas: nuestros teléfonos móviles están asumiendo cada vez más funciones que antes cumplían otros dispositivos. Vigila siempre qué programas y aplicaciones descargas, pues una de ellas podría ser un infiltrado para conseguir el control de tu coche.
Vigilar las llaves: las llaves más modernas permiten controlar varias de funciones del coche, y también pueden copiar su señal –es lo más sencillo– cuando apretamos el botón para abrir o cerrar las puertas. En sitios que no consideres seguros, mejor abre y cierra el coche con la llave física de forma manual.
Proteger el mando: como la evolución del paso anterior, hay bolsas especializadas que impiden acceder a la señal del mando y evitarán que alguien nos la duplique por “accidente”.
Prestar atención al puerto OBD2: este es el puerto de comunicaciones que deja diagnosticar, programar o codificar múltiples dispositivos electrónicos. Es muy importante saber dónde está y qué hay conectado al OBD2, puesto que una puerta muy tentadora para los cibercriminales.
¿Existirá alguna solución definitiva a esta problemática?
Los fabricantes de componentes llevan años trabajando, y parece ser que una solución está en camino. En tiempo récord, la Organización de las Naciones Unidas (ONU) ha desarrollado una norma que unifica los criterios y los requisitos, e implanta las bases mínimas de ciberseguridad para todos los vehículos. Todo esto se ha traducido en el Reglamento UNECE/R155, que entró en vigor el 22 de enero de 2021, y obliga a que todos los vehículos que se homologuen a partir de julio de 2022 y vendidos a partir de julio de 2024 tengan un certificado de ciberseguridad.
Fuente: DGT