Robo de información y 'crackeo' de vehículos: la ciberseguridad preocupa al sector

A medida que la electrónica se ha ido adueñando de los vehículos y la conectividad les enlaza con el mundo exterior de un modo que hace pocos años era impensable, los automóviles modernos se vuelven más vulnerables a ataques e interferencias de terceros, lo cual es fuente de preocupación creciente en el sector. Un sector que empieza a sufrir de forma directa ese riesgo en alza, como demuestra el último caso conocido, pues el pasado 10 de diciembre Volvo Cars reconocía haber sido objeto de un robo de información sobre investigación y desarrollo, al haber accedido desconocidos a sus servidores para piratearlo. Y aunque el fabricante sueco explicaba que la intrusión había afectado a una parte muy limitada de sus datos y que no había tenido impacto en la seguridad y la protección de sus clientes, Volvo no descarta aún que pueda tener consecuencias en las operaciones de la compañía y sigue investigando el hecho con ayuda de empresas especializadas en ciberseguridad, un término que escucharemos cada vez más en torno a la automoción.

Como también habrá que habituarse a los 'crackers', personas que se introducen en sistemas ajenos con fines delicitivos, tanto para buscar información sensible y comercializarla o pedir un rescate por ella como para, simplemente, hacerla pública sin autorización. O, dicho de otro modo, como un 'hacker', término más común hasta ahora y que en realidad describe a los comprobadores de la seguridad, pero con fines fraudulentos. Y ahora que la conducción completamente autónoma de los coches está empezando a aplicarse, con ejemplos como el Honda Legend en Japón o los Mercedes-Benz Clase S y EQS en Alemania, preocupa también que un ciberdelincuente pudiera, por ejemplo, interferir en la seguridad de los vehículos y los usuarios de la vía aprovechándose de nuevas tecnologías como la IA (inteligencia artificial) o el aprendizaje automático: a medida que crezcan los beneficios para la sociedad de estas soluciones, también lo hará la amenaza que supone su utilización maliciosa.

Por ese motivo, y porque se tiene constancia de problemas de ciberseguridad en los automóviles desde 2012, la UNECE (Comisión Económica de las Naciones Unidas para Europa) desarrolló la normativa de seguridad UNECE/R155, que entró en vigor en enero de 2021, hace exactamente un año, y establece los requisitos mínimos de ciberseguridad que debe cumplir un vehículo, afectando a coches, furgonetas, autocaravanas, camiones, remolques y autobuses que se homologuen desde julio de 2022, y a todos los que se comercialicen desde julio de 2024 en la Unión Europea y en todos los territorios adheridos hasta ahora a la normativa: Rusia, Japón, Corea del Sur, Sudáfrica y Australia.

Curiosamente, la norma UNECE/R155 no incluye a las motocicletas porque UNECE estima que este tipo de vehículos no están suficientemente conectados y no estarán en el foco de los 'crackers', pero desde Eurocybcar, una empresa tecnológica española radicada en Vitoria que se ha especializado en este campo, reclaman que la nueva norma también extienda su aplicación a ciclomotores y motocicletas, ya que también empiezan a estar conectados y pueden ser víctimas de ciberataques. De hecho, Eurocybcar acaba de acreditar que la motocicleta eléctrica NUUK Cargopro, fabricada por una 'start-up' con sede en Vizcaya dedicada a la comercialización de soluciones de movilidad eléctrica ligera inteligente, es "el primer vehículo ciberseguro del mundo", pues ha pasado el test sobre las 70 posibles amenazas recogidas en la normativa UNECE/R155. De este modo, NUUK se convierte también en la primera marca en el mundo que obtiene el certificado de Ciberseguridad para Vehículos que emite AENOR de acuerdo con la citada norma de Naciones Unidas.

El test de Eurocybcar

La NUUK Cargopro ha obtenido esta acreditación tras superar el test de Eurocybcar, ajustándose a los requisitos de la norma UNECE/R155 y según el procedimiento y metodología ESTP (Eurocybcar Standard Test Protocol), que identifica, evalúa y previene los riesgos que afectan a la ciberseguridad de los vehículos, a los sistemas de gestión de flotas y a las infraestructuras de telecomunicaciones. Y el test ESTP somete al vehículo a tres tipos de pruebas: de acceso físico, de acceso remoto y de aplicaciones, que se realizan en el laboratorio alavés de Eurocybcar.

En las pruebas de acceso físico se comprueba, por ejemplo, si un ciberdelincuente podría manipular, a través del puerto OBD del vehículo, el ABS, sus frenos o su dirección; o si a través del puerto USB se puede introducir un virus que produzca la paralización de los sistemas del vehículo, poniendo en riesgo la vida de los pasajeros o de otros usuarios de la vía.

En las pruebas de acceso remoto se analizan sistemas inalámbricos, como la conexión Bluetooth (permite enlazar el dispositivo móvil al vehículo para compartir sus datos), Wi-Fi (proporciona conexión a internet a los dispositivos móviles de los ocupantes) o el sistema 'keyless' (permite abrir y cerrar el coche sin necesidad de usar la llave, o incluso encender el motor), para comprobar si está en riesgo la seguridad del vehículo o los datos privados de los usuarios.

Por último, en las pruebas de aplicaciones se evalúan la vulnerabilidad de las aplicaciones que vienen integradas en el vehículo y las apps oficiales de la marca que el usuario puede descargar en su dispositivo móvil. Algunas de esas aplicaciones nos permiten controlar desde el smartphone diversos parámetros del vehículo, como activar la climatización antes de llegar al vehículo, bloquear y desbloquear puertas, o poner en marcha el motor de forma remota, pero también acceder a información almacenada en el automóvil, como el kilometraje, mensajes de alerta o las rutas usadas frecuentemente por el conductor.