La ciberseguridad, la próxima gran batalla del motor

La ONU elabora un estándar que será obligatorio en la UE a partir de 2022, mientras que la industria prepara una ISO en esta materia

Hacker coches
Getty Images

En julio de 2015, dos hackers altruistas tomaron el mando a distancia de un Jeep Cherokee que conducía un redactor de la revista Wired por una interestatal de Estados Unidos. Charlie Miller y Chris Valasek consiguieron desde la casa de Miller, a 16.000 kilómetros de distancia, poner a tope el aire acondicionado, cambiar la radio de estación, encender los limpiaparabrisas y, por último, subir y bajar la velocidad para finalmente detener el motor en plena autopista.

El ciberataque fue una prueba consensuada con el conductor –no por eso menos aterradora, según confesó este– que sirvió para evidenciar la vulnerabilidad de los automóviles en la era de la conectividad total.

El resultado del experimento obligó a Fiat Chrysler, propietario de Jeep, a llamar a revisión a 1,4 millones de utilitarios en Estados Unidos y a pagar cuantiosas multas, sin contar con los daños reputacionales, ya que Miller y Valasek difundieron su hazaña en medios, blogs y conferencias.

Pese a la repercusión del suceso, el riesgo de que vehículos repletos de sensores acaben bajo los mandos de piratas informáticos es un tema del que se habla poco. Las marcas de automoción están enfrascadas ahora mismo en liderar los avances en electrificación y reducción de emisiones para aprovechar la transición energética en ciernes. Pero expertos sostienen que cuando esa carrera acabe, la siguiente será la de la ciberseguridad.

“En ambos casos, hablamos de factores que ponen en riesgo la vida de las personas”, reflexiona Azucena Hernández, CEO de Eurocybcar. “Si los coches no son cada vez más ecológicos se puede generar un problema de salud mundial. Lo mismo sucede con la ciberseguridad: si los automóviles, que ya son auténticos ordenadores con ruedas, no cumplen con unos niveles mínimos, se expone a sus pasajeros a sufrir las consecuencias de ataques informáticos sobre los sistemas de frenado, aceleración o dirección y que eso termine provocando un accidente”, sostiene.

Los concesionarios deben reiniciar los ordenadores de un usado antes de cerrar su venta

El Foro Mundial para la Armonización de la Reglamentación sobre Vehículos, un grupo de trabajo de la Comisión Económica de las Naciones Unidas para Europa, tomó nota de estos riesgos y a finales de 2016 empezó a elaborar una normativa en la materia que, en principio, debería de publicarse este mes. Se prevé que la UE adopte este reglamento y a partir de 2022 prohíba la venta de coches que no certifiquen su cumplimiento.

“El objetivo de esta norma es que los fabricantes tengan en cuenta la ciberseguridad desde que empiezan a diseñar los modelos”, explica Hernández, cuya empresa, Eurocybcar, ha lanzado un test que mide si un coche es vulnerable o no al robo de datos o intentos de manipulación remota de sus componentes y sistemas.

La compañía, con sede en Álava, ha invertido medio millón de euros en esta tecnología que espera sirva a las marcas para certificar el cumplimiento de la ISO 21434, primer estándar internacional de ciberseguridad automotriz que se encuentra en desarrollo. Por lo pronto, la prueba ya resulta útil para gestores de grandes flotas, como instituciones públicas, empresas de renting y carsharing.

La tecnología de una firma vasca certifica si un modelo es capaz de resistir ataques

Sergey Zorin, responsable de seguridad en los sistemas de transporte de Kaspersky Lab, aclara que la nueva regulación de 2022 afectará sólo a los vehículos que requieran una aprobación, es decir, solo para nuevos tipos y modelos de vehículos. "Casi todos los fabricantes de automóviles han desarrollado en los últimos años una estrategia para incrementar la resiliencia de las arquitecturas de sus vehículos a los ciberataques. Por eso, es de esperar que el nivel de preparación, en cuando a las medidas implementadas, sea elevado", sostiene.

El experto de Kaspersky argumenta que los fabricantes han confiado mucho en las tecnologías de la información en términos de políticas, estrategia y mejores prácticas de ciberprotección, lo cual ha acortado el tiempo para definir e implementar soluciones. "Incluso sin existir una norma sobre los requisitos de ciberseguridad, todas las marcas han diseñado soluciones propias con diferentes niveles de complejidad. Las regulaciones están llegando y esto determinará un despliegue más uniforme de las soluciones de ciberprotección en los automóviles", destaca.

Robo de datos a concesionarios

Una amenaza más cercana que la de ataques en carretera es la sustracción de datos a los concesionarios. Sumauto, grupo de portales especializados en motor, alerta de que los distribuidores no preparados se exponen al robo de información de sus clientes, lo que puede acarrearles multas de hasta 600.000 euros.

Isabel García Casado, experta en inteligencia de negocio de Sumauto, advierte de que este riesgo es especialmente alto en el caso de los vehículos usados. “Si el profesional que intermedia en la compraventa de un coche de segunda mano no resetea los datos del vendedor y el comprador tiene acceso a ellos, es responsable del uso que este último pueda hacer de ellos”, precisa.

En Faconauto, asociación de concesionarios oficiales, confirman que tienen constancia de casos aislados de secuestro de bases de datos que han sido subsanados porque los afectados estaban preparados para esta contingencia. “Los últimos cambios en la Ley Orgánica de Protección de Datos han servido para que los distribuidores se actualicen en ese sentido y puedan cumplir con la normativa y sus clientes”, comenta Raúl Morales, portavoz de la patronal. De todos modos, asegura que siguen trabajando en la creación de manuales o protocolos de ciberseguridad.

Por su parte, Marcel Blanes, responsable de relaciones institucionales de Coches.net, opina que la nueva normativa favorecerá y generará confianza en los usuarios, tanto en el que compra como en el que vende, de que el coche está libre de toda información particular y personal del anterior propietario del vehículo: webs marcadas como favoritas en el navegador, la agenda telefónica... todo lo que se almacena en el sistema de infoentretenimiento de un vehículo. "Todo debería de borrarse como si fuera un móvil", recomienda.

El test de Eurocybcar


Colaboradores. En el desarrollo del test de Eurocybcar, que tomó casi tres años, han colaborado dos marcas, que cedieron sus vehículos para la fabricación de prototipos, y el Centro Vasco de Ciberseguridad, con sede en Vitoria-Gasteiz.

Pruebas. El test comprueba si un hacker podría manipular el ABS, los frenos, la dirección y el sistema multimedia del coche, este último a través del puerto USB. También examina el keyless, que permite abrir o cerrar las puertas sin necesidad de llave, el wifi, Bluetooth, el eCall y las aplicaciones móviles disponibles.

Bus CAN. Después del keyless, el sistema más atacado es el bus CAN, protocolo de comunicaciones que utilizan todos los ordenadores del vehículo. Sergey Zorin, de Kaspersky, coincide en que la parte más vulnerable del coche conectado es la infraestructura de backend, es decir, los servidores y la infraestructura de comunicaciones. "Esta es la parte que debe ser protegida para evitar que el vehículo sea accesible por conexiones remotas desde internet. Por tanto, es importante proteger las comunicaciones del vehículo (internas y externas), los datos y el software de control. La ciberseguridad debería ser un requisito de diseño, ya que no es posible añadir soluciones eficientes de ciberprotección en una etapa tardía de la fase de diseño del producto. También es importante verificar el producto final mediante una prueba de penetración", expone.

Normas
Entra en El País para participar