Conforme evoluciona el equipamiento de los nuevos coches crece nuestra dependencia tecnológica. Y ello hace que aumente el riesgo de ser atacados por ciberdelincuentes profesionales, que están más preparados y se sirven de virus informáticos para hacer cada vez más daño, según explica la revista de la DGT.
Los cracker son capaces incluso de modificar a distancia el software de un vehículo. Ya en 2010 un equipo de investigadores de las universidades estadounidenses de Seattle y California lograron piratear dos vehículos en marcha a los que inutilizaron a distancia los frenos y el motor. Los ataques fueron multiplicándose hasta que en 2018 el FBI alertó a los fabricantes de que estaban en el punto de mira de los crackers.
Y hace unos pocos meses un ciberdelincuente, David Colombo, avisó al mundo de que tenía el control de 25 coches eléctricos Tesla en 13 países sin que los propietarios se hubieran percatado del ataque. Todo ello ha puesto en guardia a la Interpol, que afirma que “la ciberdelincuencia crece a un ritmo muy acelerado. Operan a escala planetaria, coordinando ataques en cuestión de minutos”.
Los ciberataques más comunes
HackeCar, un medio especializado en motor, ciberseguridad y tecnología, explica que “el ciberataque más común en todo el mundo tiene como protagonista al sistema keyless -que permite acceder y arrancar un vehículo sin sacar la llave del bolsillo o bolso-, para robar el automóvil o lo que haya en su interior".
La empresa EuroCybCar asegura que un ciberdelincuente puede emplear el sistema bluetooth para que cuando se vinculen teléfono y vehículo obtenga un volcado de tus datos e información personal, utilizarlo para conocer tu posición y espiarte, acosarte, suplantar tu identidad...
Y también puede atacar el e-call o sistema de llamada de emergencia para evitar que te asistan en caso de accidente. Además, puede activar o desactivar los airbags, tomar el control de dirección y frenos para provocar un accidente, proporcionarte información falsa a través del GPS o del sistema RDS de la radio, etcétera.
Igualmente se pueden valer de las apps con las que el usuario puede controlar desde su móvil y a distancia diversas funciones del vehículo, pero que podrían permitir a un cracker espiar a un usuario, acceder a bases de datos de la marca o arrancar un coche a distancia.
En un ranking de sistemas atacados, el más vulnerable es el de acceso sin llave, que se llevó en el primer trimestre de 2019 el 47% de los ataques. Tras él, los servidores (17%), las aplicaciones móviles (6%), el sistema de información (4%), la unidad de control del motor (4%), el sistema de infoentretenimiento (4%), el puerto de comunicación entre unidades de mando (4%) y el bluetooth (2%).
Con los vehículos autónomos o eléctricos se abren nuevas formas de ataque: por ejemplo, a su sistema eléctrico o al punto de recarga para provocar desde una costosa avería o robarle hasta causar un incendio con el consiguiente riesgo mortal.
¿Qué se puede hacer ante esto?
Parece que hay una solución en camino después de años de trabajo de los fabricantes de componentes. En tiempo récord, la ONU ha desarrollado una norma que unifica los criterios y los requisitos, e implanta las bases mínimas de ciberseguridad para todos los vehículos. La normativa, que entró en vigor el 22 de enero de 2021, obliga a que todos los vehículos -automóviles, camiones, furgonetas, autobuses, autocaravanas...- que se homologuen a partir de julio de 2022 y todos los que se vendan a partir de julio de 2024 cuenten con un certificado de vehículo ciberseguro.
El reglamento requiere que los fabricantes mantengan un Sistema de Gestión de Ciberseguridad certificado que debe evaluarse y renovarse al menos cada tres años. Sin ello, fabricantes y proveedores no podrán homologar ni vender vehículos, componentes o software en la UE después de junio de 2022.
Parece claro que en los próximos años aumentará el número de incidentes de este tipo y no parece factible que se pueda bloquear al 100% el riesgo y convertir en infranqueable el coche. Se espera que más de 700 millones vehículos conectados circulen por las carreteras en 2030 y la industria se prepara para que no sean objetivo sensible a los ciberataques.
Consejos para prevenir los ataques
1. Tomar conciencia de que ningún coche es inmune. Será más o menos vulnerable según su grado de digitalización.
2. Tener el software actualizado con las versiones del fabricante, que tapan brechas de ciberseguridad.
3. Escanear los USB antes de conectarlos al coche para que los antivirus detecten y eliminen posible software malicioso.
4. Apagar el wifi y el bluetooth cuando no los uses y evitar ofrecer el wifi de tu coche.
5. Vigilar qué programas y aplicaciones descargas en tu teléfono móvil.
6. Abrir y cerrar el coche con la llave manual en sitios que no consideres seguros para que no te copien la señal.
7. Proteger el mando de la llave para evitar que nos dupliquen la señal.
8. Tener cuidado con el puerto de comunicaciones OBD2, que permite diagnosticar, programar o codificar múltiples dispositivos electrónicos.