¿Son los coches modernos seguros frente a los hackers? Hablar hoy de seguridad en un coche va mucho más allá de sus frenos, cinturones de seguridad, airbags o resistencia de su estructura en un accidente. Con vehículos cada vez más conectados, la ciberseguridad crece en importancia.
Desde hace años, numerosas marcas han instalado una tarjeta SIM en todos los vehículos que salen de sus líneas de montaje. ¿Su objetivo? Recabar datos tan dispares como la posición del acelerador, el régimen del motor, los kilómetros recorridos, el tiempo de conducción o hasta la posición del asiento del conductor.
Hoy, los coches están mucho más conectados, incluso por WiFi. De esta forma, muchas marcas ofrecen la posibilidad de acceder, a través de una aplicación de nuestro teléfono móvil, a servicios como conocer la posición del coche, encender a distancia el aire acondicionado o la calefacción, abrir o cerrar las puertas, etc. Incluso recibir alertas de cuándo debe llevar el coche al taller para las labores de mantenimiento. Y allí, los coches vuelven a enchufarse a equipos de testeo. En el caso de los electrificados, también lo hacen en la vía pública a postes de recarga. Así que los riesgos pueden ser múltiples.
Y no hay que olvidar que, un coche actual de tamaño compacto y gama media lleva entre 35 y 40 miniordenadores. Son unidades electrónicas inteligentes con microprocesadores y microcontroladores. Además, hay que añadirle entre 40 y 50 unidades de sensores que proporcionan datos (presión, temperatura, imagen, etc.) y actuadores que ejecutan comandos en pequeños motores auxiliares, calefactores, ventiladores, bocinas, luces LED… Y casi todos ellos dejan rastro de su funcionamiento. Así que puede enviar paquetes de datos de unos 4 megabites por cada trayecto que cubre.
Los riesgos de ciberataque en los coches conectados
Desde el Instituto Nacional de Ciberseguridad (Incibe), sociedad dependiente del Ministerio para la Transformación Digital y de Función Pública, entidad de referencia en España para el desarrollo de la ciberseguridad y de la confianza digital, indican que todas las ventajas de los coches conectados tienen también su contrapartida porque los vehículos se convertirán cada vez más en el objetivo de ciberataques.
En el Incibe han recopilado los ciberataques más frecuentes que se han realizado a los vehículos durante los últimos años. Uno de los más habituales tiene como objetivo el sistema de apertura y arranque sin llave. Esta tecnología, explican desde este Instituto Nacional, cuenta con una unidad de control que sirve para la interpretación de las comunicaciones entre todos los dispositivos del vehículo. El atacante lo que intenta es replicar la información que manda el mando a distancia a la centralita para, de esta forma, poder abrir el coche y llevarse lo que hay dentro del vehículo o, incluso, arrancarlo y llevárselo.
Otro problema son las vulnerabilidades del sistema que se descubren y no se solucionan, por parte del usuario o la marca, debido a la dificultad para actualizar todos los dispositivos que contienen los vehículos. Y hay otro punto que se ha de tener en cuenta: los sistemas de info-entretenimiento, como las pantallas, por ejemplo, o las aplicaciones Apple-Car o Android Auto, que podrían llegar a permitir el control del vehículo.
Un potencial peligro puede esconderse en cualquier parte. Desde el Incibe apuntan a que el vehículo puede llegar a infectarse, utilizando la expresión tan habitual en los ordenadores, por otro dispositivo externo. Un ejemplo sería una estación de recarga. O incluso –como explicaremos más adelante– por los dispositivos infectados que se encuentran en la planta de fabricación de dicho vehículo.
Los puertos USB también pueden llegar a emplearse de forma maliciosa mediante la ejecución del código para la instalación de apps o incluso obtener información delicada.
Una de las utilizades más usadas en los coches modernos, la navegación guiada por GPS, también puede enfrentarse a importantes amenazas. Se denominan spoofing (suplantación de identidad para hacerse así con datos privados sin que los afectados lo conozcan) y jamming, que mediante un dispositivo es capaz de manipular la señal GPS, pudiendo anular la auténtica e incluso sustituirla.
También pueden darse ataques a los múltiples sensores que se encuentran instalados en los coches, y de esta forma podrían dejar de funcionar diferentes ayudas al conductor (ADAS, por sus iniciales en inglés).
Normativa frente a los ciberataques automovilísticos
Desde julio de 2022, es obligatorio el cumplimiento del nuevo reglamento de Naciones Unidas sobre ciberseguridad (UNECE WP.29/R155) para obtener la homologación de tipo de vehículo completo de la Unión Europea. Y desde julio de 2024, estos requisitos se han extendido a todos los vehículos nuevos que se venden, incluidos los modelos que se hayan homologado antes de 2022, pero que se siguen fabricando.
Este reglamento tiene como objetivo establecer un marco común para la ciberseguridad de los vehículos que esté vigente en diferentes partes del mundo. Por un lado, se exige la implementación de un Sistema de Gestión de la Ciberseguridad (CSMS) certificado, y por otro, un Sistema de Gestión de la Actualización del Software como condición para la homologación. Los sistemas del automóvil deben ser resistentes al menos a 70 amenazas informáticas diferentes.
En conjunto, los reglamentos de Naciones Unidas regulan la gestión de los riesgos informáticos para los vehículos. En segundo lugar, incorporan la ciberseguridad en los vehículos “desde el diseño” para mitigar los riesgos en la cadena de suministro. También dejan claro cómo detectar y responder a los incidentes de seguridad en las flotas de vehículos y la forma de actualizar, de forma segura, el software de los vehículos, incluyendo una base legal para las actualizaciones over-the-air (las famosas OTA de las que nos hablan algunos fabricantes como argumento comercial).
Así que cada fabricante debe hacer una evaluación del riesgo de ciberseguridad del vehículo, que debe incluir todos los componentes integrados en la cadena de proveedores del automóvil. Pero los constructores no son los únicos afectados por estos nuevos requisitos, porque también están incluidos en ellos los proveedores de nivel 1 (que suministran componentes completos directamente a los fabricantes), nivel 2 (proveedores del nivel 1) e incluso de nivel 3 (suministran componentes al nivel 2).
Con toda esta reglamentación se quiere asegurar que, al igual que sucede con los frenos o los airbags, la ciberseguridad de un vehículo nuevo puede responder a los posibles ataques de hackers.
