El hecho de que cada vez más dispositivos empiecen a conectarse a Internet es una buena noticia para los usuarios. Esto suele conllevar nuevas funcionalidades que nos hacen la vida más sencilla. Ese es el caso de los coches inteligentes. Conexión con el móvil, redes sociales, acceso remoto al taller, a los servicios de emergencia en caso de accidente… Los aspectos positivos pueden ser (y serán) muchos. Pero la conectividad de estos sistemas abre las puertas también a una gran cantidad de riesgos. Y el mayor riesgo es que son desconocidos para la gran mayoría de los usuarios, e ignorados por los fabricantes.

No es que los ciberdelincuentes podrían encontrar vulnerabilidades en los sistemas operativos de los ordenadores de los automóviles, y tomar el control de los sistemas del coche. Es que ya lo han hecho. Hay una cosa que nos tiene que quedar clara: los sistemas (informáticos) de los coches son inseguros, por definición. A partir de aquí habrá que ver qué se puede hacer, pero hoy por hoy esta parece ser una realidad innegable.  “Nos hemos preocupado por la funcionalidad. Pero no nos hemos planteado los riesgos”, afirma Rafael Rosell, director comercial de S2 Grupo, una compañía 100% española dedicada a la ciberseguridad, sobre todo ciberdefensa y seguridad industrial que ha presentado un informe en el que analiza precisamente las vulnerabilidades de los coches.

Los coches conectados son inseguros por definición, no se han diseñado pensando en su seguridad.

El problema de base de este tipo de sistemas es que nunca se han tenido en cuenta las variables de seguridad, explica Rosell, “no están pensados para conectarse a Internet, y ahora vienen los problemas”.Para que nos hagamos una idea de la complejidad de este asunto, los coches hace 15 años tenían 5.000 variables (sensores). Ahora, los automóviles tienen más de 30.000. Los sistemas informáticos de los coches  son las ECUs, una especie de ordenadores centrales, los “cerebros” del automóvil. Un automóvil cualquiera puede tener decenas de ellos, y se comunican entre sí a través de buses (vías por las que circula la información). “No sólo es que los propios sistemas de los coches no estén pensados para la seguridad; es que además los protocolos en los que se basan tienen muchos años, y no se diseñaron pensando en esto. ¿Quién iba a pensar hace veinte, treinta años, que los coches podrían der hackeados?”, explica Servilio Alonso, experto en ciberseguridad industrial de S2 Grupo y responsable del informe.

coches conectados seguridad 2

Múltiples vectores de ciberataques en coches conectados

Los usuarios cada vez estamos expuestos a nuevas amenazas, que antes no existían. En el caso de los vehículos, los ataques pueden venir de muchos frentes. Podemos distinguir dos grandes tipos, con acceso físico al aparato, o sin él.

Un ejemplo de ataque en el que se necesita un acceso físico es el que realizó el hacker Raúl Sánchez en Mundo Hacker, que explicó los aspectos más técnicos en esta ponencia. Sánchez encontró una vulnerabilidad en el control central del automóvil, y la aprovechó para crear un aparato que conectado al cerebro el coche, le permitía ver sus parámetros y controlarlo de forma remota.

Sin acceso físico, el caso de Chrysler que sacó a la luz Wired el año pasado y fue un auténtico boom, que provocó que la marca retirara un millón y medio de coches que podían ser vulnerables a ataques. El informe elaborado por S2 Grupo analiza varios vectores de ataque relacionados precisamente con ataques remotos.

Uno de los más peligrosos, a través de los servicios telefónicos de la marca. Por ejemplo, si un atacante consiguiera interceptar la comunicación del servicio de soporte, o hacerse pasar por él en un ataque de ingeniería social. Pero los ciberatacantes se podrían aprovechar de las vulnerabilidades y puntos débiles de todos los servicios informáticos y tecnologías asociadas: los portales web  para la administración de los vehículos en remoto e incluso las aplicaciones para móviles, que permiten la gestión de las In Car Smartphones Apps. Los cibercriminales podrían crear aplicaciones haciéndose pasar por las apps oficiales. Otro ejemplo: los servicios remotos, que convierten al samrtphone en una llave de mando (para abrirlo y cerrarlo, o activar la climatización). En todos estos casos, como medida de seguridad por parte de los usuarios es conveniente seguir las medidas de seguridad básicas aplicables a otros sistemas: contraseñas robustas, actualizar, cuidado con el spam, etc.

Si los coches no se han diseñado pensando en la seguridad, la gran pregunta es: ¿qué están haciendo los fabricantes de automóviles ahora para solucionar esto? La respuesta no es muy halagüeña… “Poco. Muy poco”, se lamenta Servilio López. “Las marcas se centran en el plano funcional, lo que importa es que las cosas funcionen. ¿Si son seguros o no a nivel de ciberataques? Eso no importa mucho (por el momento)”.

¿Y los fabricantes de soluciones de seguridad? Estos parece que ya están trabajando en soluciones enfocadas a proteger los coches conectados. Rafael Rosell apunta que las empresas de ciberseguridad lo que están haciendo en la mayoría de los casos es una labor de auditoría, auditando entornos industriales y vehículos, “en la medida en que se dejan… que no es mucho”.

coches conectados seguridad 4

¿Qué riesgos existen para los usuarios?

Por ejemplo, accediendo al GPS se podría saber por dónde se mueve el conductor, se pueden modificar parámetros de conducción, provocar fallos  en los sistemas de frenado, en el airbag, desconexión de los sistemas de seguridad o de ayuda a la conducción como ABS o ESP… O provocar un mal funcionamiento del sistema de gases. Si le echamos imaginación, por ejemplo, “se podría hacer un ataque a escala global, aumentando las emisiones de gases de miles de coches y provocando problemas de contaminación y de salud”, explica Alonso.  Pero hay más, se podría provocar un incremento de las visitas al taller, alterando los parámetros de mantenimiento. Y por supuesto, llegar a robar físicamente el vehículo…  En fin, la cantidad de ataques puede ser enorme, en función del objetivo del cibercriminal en cada caso, y de sus habilidades.

¿La solución? “Volver a usar la bicicleta”, bromea Alonso. En realidad, hay una parte “buena”, o menos mala, y es que realizar este tipo de ataques, lógicamente, no es nada sencillo. Se necesita un “equipo mixto” compuesto por un experto en hacking e informática, y un experto en mecánica, o bien un experto multidisciplinar. Por otro lado, para proteger de este tipo de ataques también se necesitan ambos perfiles.

Por delante: muchos kilómetros de concienciación

Por supuesto, los expertos explican que no se trata de dar ideas a los ciberdelincuentes… Sino de abrir los ojos tanto a los fabricantes de vehículos conectados como a los usuarios. Por un lado, las marcas deben ponerse las pilas para prevenirse antes de que lo hagan los ciberdelincuentes. Y los usuarios tienen mucho que decir en este aspecto: si los consumidores están concienciados, y demandan este tipo de medidas a los fabricantes, éstos tendrán que empezar a hacer algo. No sólo fabricantes, todo el sector tendrá que abrir los ojos ante este nuevo panorama. Por eso, probablemente llegue el día en que los seguros de coche incluyan cláusulas de “en caso de ciberataque”.

La parte de la concienciación es fundamental. “Si los consumidores no saben que estos riesgos existen, los fabricantes no van a hacer nada para arreglarlo”. Como suele ocurrir, no pasa nada, hasta que pasa algo. El problema en casos de ciberataques es que esperar a que pase algo puede ser muy peligroso. Añadiendo la complejidad de entornos industriales en los que se involucran los ciberataques: sería muy complicado investigar quién está detrás de ellos, o si realmente ha sido debido a eso, por ejemplo, en caso de que se produjera un accidente.

coches conectados seguridad 5

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Deja un comentario