En el punto de mira de los ‘crakers’
- El sistema de acceso sin llave, lo más atacado por los piratas
23 marzo 2022
Paralelamente a la velocidad a la que aparecen nuevos coches o motos con equipamientos más sofisticados crece nuestra dependencia tecnológica y, por tanto, el riesgo de ser atacados por ciberdelincuentes profesionales con virus informáticos y fines lógicamente nada buenos.
Y es que cuantos más datos personales introducimos en Internet y cuanto más conectados estamos, ya sea en el hogar, el móvil o en el coche, más probable es que seamos víctimas de alguna forma de ciberdelincuencia o de ciberataque. Ya en 1976 Bill Gates escribió una carta abierta en la que condenaba el código abierto y la piratería de software. Hoy la ciberdelincuencia mundial está mucho más preparada y es más dañina.
Los ahora denominados ‘cracker’ incluso podrían modificar –es relativamente sencillo para ellos– a distancia el software de un vehículo. Esta dañina relación entre los delincuentes informáticos y el automóvil o la moto no es nueva. Ya en 2010 un equipo de investigadores de las universidades de Seattle y de California (EE.UU.) demostraron que los coches de última generación eran vulnerables a ciberataques y lograron piratear dos vehículos a los que inutilizaron los frenos y el motor a distancia y cuando se encontraban en marcha. Los ataques fueron multiplicándose hasta que en 2018 el FBI alertó a los fabricantes de que estaban en el punto de mira de los ‘crackers’.
Y hace solo unas semanas un ciberdelincuente llamado David Colombo avisaba al mundo de que tenía el control de 25 coches eléctricos Tesla en 13 países diferentes debido a un fallo de los propietarios y sin que estos se hubiesen percatado del ataque. Una deriva inquietante que ha puesto en guardia a la Interpol que declara en su página web: “La ciberdelincuencia crece a un ritmo muy acelerado. Operan a escala planetaria, coordinando ataques en cuestión de minutos”.
La solución está en camino
Los fabricantes de componentes llevan años trabajando, y parece ser que una solución está en camino. En tiempo récord, la ONU ha desarrollado una norma que unifica los criterios y los requisitos, e implanta las bases mínimas de ciberseguridad para todos los vehículos. Todo esto se ha traducido en el Reglamento UNECE/R155 (la norma ISO/SAE 21434 también recién aprobada no es un requisito legal de obligado cumplimiento, pero servirá a los fabricantes para construir y auditar sus sistemas de ciberseguridad).
Esta normativa UNECE (entró en vigor el 22 de enero de 2021) obliga a que todos los vehículos –automóviles, camiones, furgonetas, autobuses, autocaravanas...– que se homologuen a partir de julio de 2022 y todos los que se vendan a partir de julio de 2024 cuenten con un certificado de vehículo ciberseguro.
Certificados
Por su parte Cesvimap (Centro de Experimentación y Seguridad Vial de Mapfre) enumera las medidas que tendrán que tomar los fabricantes. “El Reglamento de la UNECE requiere que los fabricantes mantengan un Sistema de Gestión de Ciberseguridad certificado que debe evaluarse y renovarse al menos cada tres años”. Sin ello, fabricantes y proveedores no podrán homologar ni vender vehículos, componentes o software en la UE después de junio de 2022.
Pero las marcas y sus proveedores ya trabajan desde hace años en prevenir estos ataques con mayor o menor éxito. Ford, por ejemplo, asegura a sus clientes que aunque nadie puede garantizar que la transmisión de datos a través de Internet sea segura, ellos tienen un equipo de ciberseguridad para vehículos conectados destinado a proteger su información.
HackeCar, un medio digital especializado en motor, ciberseguridad y tecnología explica que “el ciberataque más común en todo el mundo tiene como protagonista al sistema keyless –que permite acceder y arrancar un vehículo sin necesidad de sacar la llave del bolsillo o bolso–, para robar el automóvil o lo que haya en su interior".
Los más fáciles
Y es solo un ejemplo. Tal y como ha recogido la empresa EUROCYBCAR –que cuenta con una base de datos con todos los ataques contra vehículos que se han producido desde el año 2012–, un ciberdelincuente puede emplear el sistema bluetooth para que cuando se vinculen teléfono y vehículo pueda obtener un volcado de tus datos e información personal, utilizarlo para conocer tu posición y espiarte, acosarte, suplantar tu identidad...
Pero es que también puede atacar el e-call o sistema de llamada de emergencia para evitar que te asistan en caso de accidente. Además, puede activar o desactivar los airbags, tomar el control de dirección y frenos para provocar un accidente, proporcionarte información falsa a través del GPS o del sistema RDS de la radio... Por no hablar de las apps, cada vez más comunes, con las que el usuario puede controlar desde su móvil y a distancia diversas funciones del vehículo, pero que podrían permitir a un 'cracker' espiar a un usuario, acceder a bases de datos de la marca, arrancar un coche a distancia...
Hay que mencionar también a los vehículos autónomos o eléctricos, con los que se abren nuevas formas de ataque: por ejemplo, a su sistema eléctrico o al punto de recarga para provocar desde una costosa avería o robarle, hasta causar un incendio con el consiguiente riesgo mortal.
En cualquier caso, desde Cesvimap y por boca de su director, José María Cáncer, se hacen algunas preguntas “Está claro que aumentará el número de incidentes de este tipo, pero todavía no está cien por cien claro quién va a ser responsable último de una posible vulnerabilidad. ¿Sería el fabricante del vehículo o el suministrador del equipamiento ‘violado’?”.
También se pregunta si algún día nuestro coche conectado será absolutamente infranqueable, y es contundente: “Con riesgos que evolucionan tanto y tan rápido, no creemos que se pueda bloquear nunca al 100% el riesgo, pero sí conocerlo, informar, formar y actuar para reducirlo” En definitiva, se espera que más de 700 millones vehículos conectados circulen por las carreteras en 2030 y la industria se prepara para que no sean objetivo sensible a los ciberataques.
Los más atacados
Sistema | % de ataques |
---|---|
Sistema de acceso sin llave | 47% |
Servidores | 17% |
Aplicaciones móviles | 6% |
Sistema de información | 4% |
Unidad de control del motor | 4% |
Sistema de infoentretenimiento | 4% |
Puerto de comunicación entre unidades de mando | 4% |
Bluetooth | 2% |
Fuente: Upstream. Datos correspondientes al primer trimestre de 2019.
Las recomendaciones de las marcas
1. Tomar conciencia
Ningún coche es inmune. Dependiendo del grado de digitalización de nuestro coche, este será más o menos vulnerable. La única forma de reducirlo es entenderlo y manteniéndonos alerta.
2. Software actualizado
La mayor parte de las veces, las actualizaciones se crean para tapar brechas de ciberseguridad. Mantén el software de tu coche actualizado con las versiones proporcionadas por el fabricante.
3. Escanear antes de conectar
Los dispositivos USB son los caballos de troya más comunes a la hora de instalar software malicioso. Es indispensable pasar el antivirus por cualquier dispositivo USB antes de conectarlo a nuestro coche.
4. Apagar
Todas las conexiones son puertas de entrada y de salida. Desconecta el wiFi y el bluetooth cuando no los uses. Tampoco te olvides de controlar a quién ofreces (mejor, no lo hagas) el servicio wifi de tu vehículo.
5. Ojo con las descarga
El teléfono inteligente está asumiendo cada vez más funciones que antes cumplían otros dispositivos. Vigila siempre qué programas y aplicaciones descargas, una de ellas podría ser un caballo de troya para conseguir el control de tu coche.
6. Vigila tus llaves
Las llaves más modernas permiten controlar multitud de funciones del coche. Pueden copiarnos la señal –es lo más sencillo– cuando apretamos el botón para abrir y cerrar las puertas. Cierra y abre el coche con la llave manual en sitios que no consideres seguros.
7. Protege el mando
Este paso es una evolución del anterior. Hoy venden bolsas especializadas que impiden acceder a la señal del mando y evitarán que alguien nos lo duplique por 'accidente'.
8. Cuidado con el OBD2
Es un puerto de comunicaciones que permite diagnosticar, programar o codificar múltiples dispositivos electrónicos. Es muy importante saber dónde está y qué hay conectado a él (por ejemplo, algunas aseguradoras ofrecen dispositivos que se conectan al OBD2 para estudiar tus hábitos de conducción y así adaptar el precio de sus seguros). Es una puerta muy tentadora para los cibercriminales.
Según el último informe del Tribunal de Cuentas Europeo, el despliegue de la tecnología 5G (sistema de transmisión inalámbrica de datos con mayor capacidad y velocidad) en la Unión Europea va con retraso debido en parte a los problemas de seguridad que siguen sin resolverse. Y es que las redes 5G funcionan principalmente con programas informáticos y algunos de los proveedores de estos programas operan en el marco de legislaciones de países no pertenecientes a la UE (de China sobre todo), denominados proveedores de alto riesgo, y con los que parece difícil atar el tema de la ciberseguridad. Y los datos son de una magnitud imponente, ya que de aquí a 2030 habrá en todo el mundo 50.000 millones de dispositivos conectados en uso.
La marca que de momento puede demostrar que cumple los requisitos mínimos de ciberseguridad que exige la normativa UNECE/R155 es un fabricante español: Rieju, que ha desarrollado una moto eléctrica –la Nuuk Cargopro–. Es el único vehículo en todo el mundo que puede demostrar que es ciberseguro, al haber obtenido el certificado de la empresa vasca EUROCYBCAR, que mide y certifica el nivel de ciberseguridad de un vehículo aplicando la metodología ESTP, que analiza hasta 70 amenazas específicas de ciberseguridad, y según los requisitos de la normativa UNECE/R155.