Más de tres millones de coches hackeados entre 2019 y julio de 2020
Los piratas informáticos pueden acceder al vehículo desde un USB con música y robar datos del teléfono móvil o alterar el guiado por GPS
Se calcula que en el año 2030, 13 millones de vehículos estarán altamente automatizados, y en 2040, 33 millones de coches autónomos se venderán en todo el mundo, mejorando así el flujo de tráfico y la seguridad. Funciones como la conexión del móvil al coche de forma inalámbrica mediante Bluetooth, el uso de navegadores con sistemas GPS, del sistema de apertura con llave, las cada vez más numerosas ayudas a la conducción, como el guiado en curva, sistemas anticolisión o aparcamiento automatizado, son ya comunes en los coches modernos. Son tecnologías que contribuyen a mejorar la seguridad y comodidad, pero también pueden convertirse en la puerta de entrada de piratas informáticos en nuestro vehículo, con los consiguientes riesgos.
En el año 2015 saltaba a los medios de comunicación el conocido caso Jeep. En aquella ocasión, dos piratas informáticos difundían un vídeo con el que demostraban que una persona con el conocimiento suficiente podía llegar a tomar el control de un coche sin que su ocupante supiera qué estaba sucediendo. Según Azucena Hernández, CEO de Eurocybcar, desde entonces el incremento de los ciberataques está siendo exponencial. Entre 2018 y 2019 esta empresa especialista en ciberseguridad aplicada al automóvil detectó que el número de casos se duplicó y, en apenas tres años, de 2016 a 2019 se multiplicaron por siete. «Mientras que en 2019 se produjeron más de cien ciberataques, a fecha de julio de 2020 ya se habían producido 70 casos», explica Azucena Hernández. Desde enero de 2019 a julio de 2020 los ataques afectaron a más de 3 millones de unidades de marcas como Mercedes, Audi, Toyota, Honda, Tesla, Hyundai, Land Rover, BMW, Ford, Volkswagen o Kia, entre otras. El 66% de los ataques son llevados a cabo de forma remota, «es decir, sin poner un solo dedo en el vehículo; el 19% se realizan de forma física y un 15% se realizan contra las aplicaciones», comenta.
Seguridad total
Los expertos afirman que la seguridad al cien por cien no existe, ya que por muy robusto que sea un sistema de seguridad «romperlo es cuestión de inversión de tiempo, de dinero y de personal cualificado». Azucena Hernández pone como ejemplo un vehículo que incorpore Bluetooth. «La amenaza a la que se expone es que se roben los datos del sistema multimedia. Otro ejemplo es que, si tu coche incluye GPS, se puede modificar la señal que recibe ese dispositivo o, incluso, inhabilitarla. ¿Y que podría hacer un ciberdelincuente? Manipular la señal para guiar al vehículo por un recorrido falso, lo que facilitaría un secuestro, o hacer creer al vehículo que se encuentra en cualquier otro punto del planeta, en lugar de donde se encuentra realmente».
Incluso una inocente llave USB en la que llevamos música para su reproducción en el coche puede suponer un problema. «Cuando introducimos un USB con música descargada de internet en el coche, ya sea a través del puerto USB de datos/recarga o en el puerto del sistema multimedia, podemos estar introduciendo sin querer un virus o un malware en el coche –si el vehículo no está bien ciberprotegido– lo que permitiría a un tercero acceder al control de sistemas críticos del vehículo, hacerse con el control del mismo o bloquearlo en medio de la carretera». Además el teléfono móvil solamente debería estar conectado al vehículo «cuando sea necesario, ya que llevar siempre conectado el dispositivo móvil al vehículo incrementa la posibilidad de que se acceda a su contenido y, por lo tanto, a toda la información que se almacena en su interior».
Según la normativa aprobada por la Comisión Europea y que entró en vigor el pasado 22 de enero, será obligatorio que los vehículos que se homologuen cuenten con un certificado de ciberseguridad a partir de 2022. Para conseguir este certificado se evaluarán 70 amenazas específicas –detalladas por la ONU en su reglamento–. Ante esto, España juega un papel importante en la puesta en práctica de esta norma, ya que la empresa Eurocybcar, con sede en Vitoria, es la única en todo el mundo que emite el certificado «Vehículo Ciberseguro».
El listado de riesgos a evitar incluye ciberataques durante el desarrollo, la producción y la posproducción del vehículo, por lo que los modelos que logren dicho certificado estarán protegidos a lo largo de todo su ciclo de vida. Eso sí, debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo cumple los requisitos. Afectará a coches, furgonetas, autocaravanas, camiones, autobuses y vehículos ligeros de cuatro ruedas si están equipados con funciones de conducción automatizada a partir del nivel 3 en la escala de conducción autónoma. También a los remolques si están dotados con, al menos, una unidad de control electrónico.
Comprobar que al pulsar el botón las puertas se cierran o se abren. Si no lo hace alguien podría estar inhibiendo la señal
Conectarlo al coche sólo cuando lo necesitemos
Cambiar el código de acceso cada cierto tiempo y no compartirlo