Los nuevos cacos se informatizan para robar los coches modernos
▶Desde 2024, los vehículos deberán tener un certificado de ciberseguridad o serán multados con 30.000 euros
En la primera mitad del año se han denunciado 14.852 robos de vehículos, un incremento del 23,7% en comparación con el mismo periodo de 2021. Sin embargo, atrás quedaron los días en los que se rompía una ventanilla para hacer un puente y arrancar el vehículo, ya que ahora la herramienta criminal favorita es la informática y los vulgares cacos se han convertido en ‘cibercacos’.
«Ahora, solo se producen roturas de cristales cuando se quiere extraer algo de valor del interior», afirman fuentes policiales a ABC. Tiene sentido que los ladrones no quieran un coche dañado, pues llama más la atención y hace que el valor de reventa se disminuya. Además, la ausencia de fuerza presenta un nuevo problema para el propietario: la dificultad de demostrar el robo a su aseguradora.
Estas mismas fuentes declaran que hoy, el método más extendido para sustraer vehículos consiste en abrir la puerta, ya sea forzando el bombín o, si se es más sofisticado, a través de una manipulación de las radiofrecuencias de la llave, y accediendo a la centralita a través del puerto OBD 2 para poder arrancar el motor. Ladrones profesionales son capaces de llevar a cabo la operación en menos de tres minutos.
«Los últimos años ha sido muy frecuente encontrar casos en el Grupo Volkswagen, pero es cada vez más común ver denuncias de BMW o de marcas francesas», asevera la Policía.
De hecho, el pasado 10 de octubre, Europol arrestó a 31 miembros de una banda organizada entre Francia, España y Letonia para el robo de vehículos. Incautaron 1,1 millones de euros en activos criminales.
Existen muchos casos similares, en EE.UU., los «Kia Boyz» se especializaban en los coches de la anterior generación del grupo surcoreano, que además colgaban vídeos explícitos del método a seguir para poner en marcha el coche. Otros, en Francia, usaban un altavoz JBL modificado –con un valor en el mercado negro de 5.000 dólares– para conseguir el acceso a la centralita del vehículo a través del puerto USB. Sin embargo, a pesar de que parezca que hoy los vehículos son más vulnerables que nunca, la realidad es que en el primer semestre de 2022 se han denunciado la mitad de robos que hace una década, pues en el mismo periodo de 2012 se registraron 27.045.
Los fabricantes procuran reparar sus vulnerabilidades con presteza –los «Kia Boyz» ya no son capaces de vulnerar los nuevos modelos– e incluso han llegado a pagar a los ‘hackers’ por desvelar brechas de seguridad. Un ejemplo es Tesla, que desembolsó 50.000 dólares después de que un ‘hacker’ demostrase que tenía acceso a toda su flota a través de la información que intercambiaba su red de supercargadores.
La ley va un paso por detrás en lo que se trata de vigilar las formas novedosas de crimen. En 2021, Naciones Unidas presentó el Reglamento 155 para una norma de homologación de vehículos con respecto a su ciberseguridad, que define casi 70 puntos de vulnerabilidad para los vehículos actuales y futuros que han de ser protegidos. La Unión Europea ya ha anunciado que se implementará la norma Unece/R155 a partir del 1 de julio de 2024, so pena de 30.000 euros por unidad fabricada que no cumpla los requisitos.
Así como la digitalización ha traído nuevas vías de ingreso para los ciberdelincuentes, también ha hecho que surjan empresas especializadas en la prevención de este tipo de delitos y en la certificación de seguridad. En España, por ejemplo, Eurocybcar es la única capacitada de emitir esta evaluación técnica de ciberseguridad.
5G, ¿más problemas?
Conseguir una banda ancha con menor latencia ofrece un mundo de posibilidades industriales y de conectividad para la automoción. En una entrevista reciente con ABC, el CEO de Bosch, Stefan Hartung, afirmaba que esto permitiría reducir el número de centralitas en los vehículos y pasar sistemas de computación a la nube. Por un lado, aumentaría la seguridad local, al haber menos nodos vulnerables a los que acceder, pero por otro podría comprometer la integridad de un sistema de gestión de flotas al autentificarse como un elemento inocuo dentro de la nube.
Para desarrollar defensas, es imprescindible adoptar una «mentalidad hacker» y pensar en las vías de lucro que puedan tener este tipo de delincuentes. Desde la empresa de ciberseguridad Trend Micro, señalan varios vectores: el ‘ransomware’ –bloquear las funciones de un vehículo hasta que el dueño pague un rescate–, el robo de información privada o incluso el abuso de sistemas, que incluiría el tomar el control de la gestión de flotas para no levantar sospechas en el centro de supervisión, desactivando la localización GPS, por ejemplo. La llegada de camiones autónomos abriría la puerta a una forma sencilla de reparto de materiales ilegales o la posibilidad de hacer que aparquen en un lugar para ser desmantelados.
Sin embargo, desde Trend Micro afirman que los resultados de su búsqueda para vulnerar coches conectados han sido limitados, «una buena señal de que los criminales aún no han enfocado sus esfuerzos en explorar la monetización», afirman en su informe.
En los foros de la internet profunda se venden cuentas pirateadas de aplicaciones de ‘car sharing’ y de taxi, así como ‘hilos’ de cómo vulnerar el puerto OBD, modificar la centralita, información sobre el protocolo CAN desarrollado por Bosch o la venta de inhibidores de frecuencia para llaves –evitan que se cierre el coche con el mando a distancia– o las herremientas más usadas hoy: los clonadores de llave. Aún así, desde la tecnológica aseguran que los métodos más simples, como el duplicado de llaves, es potencialmente mucho más dañino que otros más sofisticados, como la instalación de ‘malware’ en remoto.
La normativa Unece/R155 de la ONU establece 70 parámetros de ciberseguridad para vehículos
En octubre, Europol arrestó una banda de 31 ladrones letones, franceses y españoles