La ciberseguridad, la próxima gran batalla del motor
La ONU elabora un estándar que será obligatorio en la UE a partir de 2022 La industria prepara una ISO específica en esta materia
En julio de 2015, dos hackers altruistas tomaron el mando a distancia de un Jeep Cherokee que conducía un redactor de la revista Wired por una interestatal de Estados Unidos. Charlie Miller y Chris Valasek consiguieron desde la casa de Miller, a 16.000 kilómetros de distancia, poner a tope el aire acondicionado, cambiar la radio de estación, encender los limpiaparabrisas y, por último, subir y bajar la velocidad para finalmente detener el motor en plena autopista.
El ciberataque fue una prueba consensuada con el conductor –no por eso menos aterradora, según confesó este– que sirvió para evidenciar la vulnerabilidad de los automóviles en la era de la conectividad total. El resultado del experimento obligó a Fiat Chrysler, propietario de Jeep, a llamar a revisión a 1,4 millones de utilitarios en Estados Unidos y a pagar cuantiosas multas, sin contar con los daños reputacionales, ya que Miller y Valasek difundieron su hazaña en medios, blogs y conferencias.
Pese a la repercusión del suceso, el riesgo de que vehículos repletos de sensores acaben bajo los mandos de piratas informáticos es un tema del que se habla poco. Las marcas de automoción están enfrascadas ahora mismo en liderar los avances en electrificación y reducción de emisiones para aprovechar la transición energética en ciernes. Pero expertos sostienen que cuando esa carrera acabe, la siguiente será la de la ciberseguridad.
“En ambos casos, hablamos de factores que ponen en riesgo la vida de las personas”, reflexiona Almudena Hernández, CEO de Eurocybcar. “Si los coches no son cada vez más ecológicos se puede generar un problema de salud mundial. Lo mismo sucede con la ciberseguridad: si los automóviles, que ya son auténticos ordenadores con ruedas, no cumplen con unos niveles mínimos, se expone a sus pasajeros a sufrir las consecuencias de ataques informáticos sobre los sistemas de frenado, aceleración o dirección y que eso termine provocando un accidente”, sostiene.
El Foro Mundial para la Armonización de la Reglamentación sobre Vehículos, un grupo de trabajo de la Comisión Económica de las Naciones Unidas para Europa, tomó nota de estos riesgos y a finales de 2016 empezó a elaborar una normativa en la materia que, en principio, debería de publicarse este mes. Se prevé que la UE adopte este reglamento y a partir de 2022 prohíba la venta de coches que no certifiquen su cumplimiento.
“El objetivo de esta norma es que los fabricantes tengan en cuenta la ciberseguridad desde que empiezan a diseñar los modelos”, explica Hernández, cuya empresa, Eurocybcar, ha lanzado un test que mide si un coche es vulnerable o no al robo de datos o intentos de manipulación remota de sus componentes y sistemas.
La compañía, con sede en Álava, ha invertido medio millón de euros en esta tecnología que espera sirva a las marcas para certificar el cumplimiento de la ISO 21434, primer estándar internacional de ciberseguridad automotriz que se encuentra en desarrollo. Por lo pronto, la prueba ya resulta útil para gestores de grandes flotas, como instituciones públicas, empresas de renting y carsharing.
Una amenaza más cercana que la de ataques en carretera es la sustracción de datos a los concesionarios. Sumauto, grupo de portales especializados en motor, alerta de que los distribuidores no preparados se exponen al robo de información de sus clientes, lo que puede acarrearles multas de hasta 600.000 euros. Isabel García Casado, experta en inteligencia de negocio de Sumauto, advierte de que este riesgo es especialmente alto en el caso de los vehículos usados. “Si el profesional que intermedia en la compraventa de un coche de segunda mano no resetea los datos del vendedor y el comprador tiene acceso a ellos, es responsable del uso que este último pueda hacer de ellos”, precisa.
En Faconauto, asociación de concesionarios oficiales, confirman que tienen constancia de casos aislados de secuestro de bases de datos que han sido subsanados porque los afectados estaban preparados para esta contingencia. “Los últimos cambios en la Ley Orgánica de Protección de Datos han servido para que los distribuidores se actualicen en ese sentido y puedan cumplir con la normativa y sus clientes”, comenta Raúl Morales, portavoz de la patronal. De todos modos, asegura que siguen trabajando en la creación de manuales o protocolos de ciberseguridad.
La tecnología de una firma vasca certifica si un modelo es capaz de resistir ataques
Los concesionarios deben reiniciar los ordenadores de un usado antes de cerrar su venta