https://static.canarias7.es/www/menu/img/motor-desktop.png

Más de tres millones de coches hackeados entre 2019 y julio de 2020

Los piratas informáticos pueden acceder al vehículo desde un USB con música y robar datos del teléfono móvil o alterar el guiado por GPS

PATXI FERNÁNDEZ Madrid

Se calcula que en el año 2030, 13 millones de vehículos estarán altamente automatizados, y en 2040, 33 millones de coches autónomos se venderán en todo el mundo, mejorando así el flujo de tráfico y la seguridad. Funciones como la conexión del móvil al coche de forma inalámbrica mediante Bluetooth, el uso de navegadores con sistemas GPS, del sistema de apertura con llave, las cada vez más numerosas ayudas a la conducción, como el guiado en curva, sistemas anti-colisión o aparcamiento automatizado, son ya comunes en los coches modernos. Vías que contribuyen a mejorar la seguridad y comodidad, pero también pueden convertirse en la puerta de entrada de piratas informáticos en nuestro vehículo, con los consiguientes riesgos.

En el año 2015 saltaba a los medios de comunicación el conocido «Caso Jeep». En aquella ocasión, dos piratas informáticos difundían un vídeo con el que demostraban que una persona con el conocimiento suficiente podía llegar a tomar el control de un coche sin que su ocupante supiera qué estaba sucediendo. Según Azucena Hernández, CEO de Eurocybcar, desde entonces el incremento de los ciberataques está siendo exponencial. Entre 2018 y 2019 esta empresa especialista en ciberseguridad aplicada al automóvil detectó que el número de casos se duplicó y, en apenas tres años, de 2016 a 2019 se multiplicaron por siete. «Mientras que en 2019 se produjeron más de cien ciberataques, a fecha de julio de 2020 ya se habían producido 70 casos», explica Azucena Hernández. Desde enero de 2019 a julio de 2020 los ataques afectaron a más de 3 millones de unidades de marcas como Mercedes, Audi, Toyota, Honda, Tesla, Hyundai, Land Rover, BMW, Ford, Volkswagen o Kia, entre otras. El 66% de los ataques son llevados a cabo de forma remota, «es decir, sin poner un solo dedo en el vehículo; el 19% se realizan de forma física y un 15% se realizan contra las aplicaciones», comenta.

Cómo protegernos

La primera norma de la protección es conocer qué tecnología tiene nuestro vehículo y cómo funciona esa tecnología. Muchas veces, los manuales de usuario que elaboran las marcas incluyen consejos de uso sobre los sistemas que incorporan los vehículos. Saber que son, cómo funcionan y para qué sirven es un primer paso hacia la ciberseguridad.

El segundo consejo que ofrecen desde Eurocybcar es que tengamos cuidado con los documentos -ya sean digitales o físicos- que firmamos y leamos bien las claúsulas del uso de nuestros datos… A veces, lo que firmarmos es la cesión de todos nuestros datos para mejorar un producto, sin saber exactamente para que van a ser utilizados nuestros datos privados.

En lo que a la protección de nuestra llave con sistema keyless, existen procedimientos que podemos aplicar en nuestro día a día, como comprobar que efectivamente al pulsar el botón las puertas se cierran o se abren -que no lo hicieran podría significar que alguien está inhibiendo la señal para robarnos el coche- o que las llave solamente está emitiendo una señal cuando vamos a hacer uso del coche -muchas de las llaves están constantemente emitiendo una señal que puede ser «robada» para acceder al vehículo-.

En cuanto al móvil, una norma cibersegura es conectarlo al coche sólo cuando lo necesitemos, mientras que, respecto a la Wifi, un paso hacia la ciberseguridad será cambiar el código de acceso cada cierto tiempo y compartirlo solamente con personas de nuestra confianza -lo mismo que deberíamos hacer con la WiFi que tenemos en casa-.

A veces, la ciberseguridad no es cuestión de dinero, si no de hábitos de conducta… y pongo un último ejemplo muy sencillo: cuando vamos a vender nuestro coche, ya sea a un concesionario o a un particular, tenemos que ser conscientes de que en su interior lleva información sobre nosotros. Por lo tanto, de la misma forma que revisamos y vaciamos la guantera, tenemos que devolver a la configuración de fábrica todos los sistemas que puedan haber almacenado información nuestra, como la agenda, los emails, nuestros desplazamientos… Seguro que todo eso ya lo hacemos con nuestros móviles, así que solamente es aplicar el mismo razonamiento.

Los expertos afirman que la seguridad al cien por cien no existe, ya que por muy robusto que sea un sistema de seguridad «romperlo es cuestión de inversión de tiempo, de dinero y de personal cualificado». Azucena Hernández pone como ejemplo un vehículo que incorpore Bluetooth. «La amenaza a la que se expone es que se roben los datos del sistema multimedia. Otro ejemplo es que, si tu coche incluye GPS, se puede modificar la señal que recibe ese dispositivo o, incluso, inhabilitarla. ¿Y que podría hacer un ciberdelincuente? Manipular la señal para guiar al vehículo por un recorrido falso, lo que facilitaría un secuestro, o hacer creer al vehículo que se encuentra en cualquier otro punto del planeta, en lugar de donde se encuentra realmente».

Incluso una inocente llave USB en la que llevamos música para su reproducción en el coche puede suponer un problema. «Cuando introducimos un USB con música descargada de Internet en el coche, ya sea a través del puerto USB de datos/recarga o en el puerto del sistema multimedia, podemos estar introduciendo sin querer un virus o un malware en el coche –si el vehículo no está bien ciberprotegido– lo que permitiría a un tercero acceder al control de sistemas críticos del vehículo, hacerse con el control del mismo o bloquearlo en medio de la carretera».

Además el móvil solamente debería estar conectado al vehículo «cuando sea necesario, ya que llevar siempre conectado el dispositivo móvil al vehículo incrementa la posibilidad de que se acceda a su contenido y, por lo tanto, a toda la información que se almacena en su interior».

Azucena Hernández

Según la normativa aprobada por la Comisión Europea y que entró en vigor el pasado 22 de enero, será obligatorio que los vehículos que se homologuen cuenten con un certificado de ciberseguridad a partir de 2022. Para conseguir este certificado se evaluarán 70 amenazas específicas –detalladas por la ONU en su reglamento–.

Ante esto, España juega un papel importante en la puesta en práctica de esta norma, ya que la empresa Eurocybcar, con sede en Vitoria, es la única en todo el mundo que emite el certificado «Vehículo Ciberseguro».

El listado de riesgos a evitar incluye ciberataques durante el desarrollo, la producción y la posproducción del vehículo, por lo que los modelos que logren dicho certificado estarán protegidos a lo largo de todo su ciclo de vida. Eso sí, debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo cumple los requisitos. Afectará a coches, furgonetas, autocaravanas, camiones, autobuses y vehículos ligeros de cuatro ruedas si están equipados con funciones de conducción automatizada a partir del nivel 3. También a los remolques si están dotados con, al menos, una unidad de control electrónico.

Adrián Flecha

Los retos de la ciberseguridad en los vehículos

Por Adrián Flecha es técnico de Ciberseguridad de INCIBE- CERT

El sector automovilístico se ha aprovechado de la constante evolución de las tecnologías para mejorar sus prestaciones e incorporar nuevas funcionalidades. A pesar del gran esfuerzo de los fabricantes los sistemas utilizados pueden presentar deficiencias de seguridad que pueden ser aprovechadas para comprometer la seguridad del vehículo. A la hora de velar por ella, hay que tener en cuenta tanto las comunicaciones, como los diferentes elementos que participan en la misma.

Cada vehículo cuenta con protocolos para sus comunicaciones a nivel interno y externo. Algunos son antiguos y presentan vulnerabilidades. Si se sustituyen estos protocolos por otros más seguros, se incorporarán también sus propias características de seguridad a las comunicaciones.

Además, los vehículos autónomos necesitarán una serie de elementos para funcionar eficazmente, como cámaras, LIDAR, reconocimiento de señales de tráfico y otros sensores que mejoren su IA y que permitan su interacción con el entorno. La llegada del 5G puede cubrir esta mayor demanda de ancho de banda y contará con sus propias medidas de seguridad, pero también con posibles debilidades que deberán ser tenidas en cuenta.

La tendencia actual de incorporar sistemas y aplicaciones que permitan la interacción a través de otros dispositivos conectados, además de aportar ventajas al usuario, también puede suponer nuevos riesgos. En estos casos la seguridad recae en la propia de cada tecnología y sus protocolos, siendo necesario aplicar una serie de medidas para proteger estos dispositivos y sus comunicaciones de forma individual, ya que si alguno de los dispositivos que utilizamos se ve comprometido, por ejemplo nuestro smartphone, el ordenador de a bordo, el reproductor de vídeo o las pantallas de entretenimiento, el atacante también podría ser capaz de interactuar con el vehículo. Estas medidas van desde la utilización de sistemas que cuenten con las últimas actualizaciones disponibles, hasta el uso de contraseñas seguras o el cifrado de las comunicaciones.

Más información en INCIBE