Si vives en Madrid o has pasado por allí recientemente, seguro que has visto alguno de los centenares de coches -normalmente, híbridos o eléctricos- que forman parte de algún tipo de servicio de car sharing.
Se trata de un ejército de coches disponibles para que los alquiles durante minutos u horas a través de una aplicación móvil. Entre las compañías más destacadas que operan en la capital de España -la ciudad del país que dispone de mayor oferta- se encuentran emov, WiBLE, Zity, car2go y Wishilife.
Pero la combinación de coche tecnológico y servicio gestionado a través de una app plantea una pregunta: ¿qué pasa con su ciberseguridad? ¿Es un riesgo conducir un coche por el que pasan centenares de desconocidos y que se abre mediante el móvil?
Juan Cobo es una de las personas que mejor pueden responder a esas preguntas. Él es el CISO –máximo responsable de las políticas de ciberseguridad- de Ferrovial, la empresa que opera, de forma conjunta con Renault, la plataforma de car sharing Zity. En esta entrevista, Cobo explica cómo han trabajado la ciberseguridad de su servicio de coches compartidos.
¿QUÉ INCIDENTES DE CIBERSEGURIDAD PUEDE TENER ZITY, TANTO EN LOS VEHÍCULOS COMO EN LA APLICACIÓN DEL USUARIO?
Nosotros consideremos Zity como un servicio híbrido. Es decir, un servicio que tiene una parte industrial -el coche- y lo consideramos como una infraestructura industrial; y otra parte de infraestructuras digitales o tecnológicas tradicionales -la gestión del servicio y la aplicación-. Por este lado, el servicio Zity estaría sujeto tanto a los riesgos clásicos de ciberseguridad como a los nuevos, y que ahora mismo están muy de moda en lo que respecta a infraestructuras industriales.
“Nuestros coches no han sufrido ningún incidente de seguridad. Pero esto no quiere decir que estemos exentos de que algún día pasen estas cosas. Ese es nuestro trabajo: tratar de que no pasen las cosas y, si pasan, que estén bien gestionadas”.
¿Cómo gestionamos nosotros estos riegos? Vemos la seguridad como un proceso: aplicamos una serie de actividades para garantizar que el nivel de riesgo de cualquiera de los servicios que desplegamos es el correcto. En el caso de Zity, en la medida en la que tenemos un servicio que podríamos decir que es mitad industrial y mitad tecnología clásica, al final, conforme a nuestro modelo de evaluación de requisitos, se analizan los requisitos del coche desde el punto de vista de la ciberseguridad, los requisitos de las aplicaciones que tienen los usuarios, el impacto de la gestión… y a partir de todos esos requisitos, se elabora una batería de pruebas que es la que nos permite contar al final con el servicio que tiene el nivel de riesgo que nosotros consideramos aceptable.
¿PUEDE PONER ALGÚN EJEMPLO TIPO DE INCIDENTE DE CIBERSEGURIDAD QUE HAYA…?
(Interrumpe) Afortunadamente, nuestros coches no han sufrido ningún incidente de seguridad. Pero esto no quiere decir que estemos exentos de que algún día pasen estas cosas. Ese es nuestro trabajo: tratar de que no pasen las cosas y, si pasan, que estén bien gestionadas. Pero cuando hemos hecho los análisis del servicio -no del coche en concreto-, al final se tienen en cuenta una serie de posibles vulnerabilidades, amenazas y ataques: que se tome el control del coche, que te puedan parar el coche, que un coche no abra, que un coche no esté reportando los datos que tenga que reportar, que te crackeen la aplicación de los usuarios, que el sistema de gestión también sea crackeado…
En cuanto al coche, nos importa la disrupción del vehículo en base a los distintos servicios que tiene, el impacto en la sociedad… A partir de aquí, se elabora una serie de baterías de pruebas para comprobar que los coches son seguros. Nosotros vemos 3 partes: coche, las aplicaciones que utilizan los usuarios y el sistema que gestiona los coches.

¿PUEDE DETALLAR ALGUNA DE ESAS PRUEBAS DE CIBERSEGURIDAD?
Delegamos las pruebas tecnológicas en terceros. No conozco su detalle. Pero son test exhaustivos.
SE SUELE ESCUCHAR EN EL MUNDO DE LA CIBERSEGURIDAD QUE, A PESAR DE QUE SE HAGA UN BUEN DISEÑO DE LA INFRAESTRUCTURA PARA QUE SEA CIBERSEGURA, AL FINAL ES EL USUARIO EL PRINCIPAL PROBLEMA SI NO USA DE FORMA CIBERSEGURA EL SERVICIO. ¿CÓMO SE PODRÍA REFLEJAR ESTO EN ZITY?
Yo creo que no solo aplica a la ciberseguridad, sino a cualquier cosa. Cuando tú pones en manos del cliente final cualquier tipo de servicio, muchas veces no estás preparado para que haga un uso adecuado de él, por lo menos el primer día. Tu tienes en la cabeza que lo va a usar de una determinada manera, pero al final lo usa de otra y eso puede causar riesgos o impactos desde el punto de vista de ciberseguridad, o desde cualquier otro. Lo primero que tienes que hacer es tratar de prever todos los casos de uso de la infraestructura que se va a utilizar y, obviamente, someter a la infraestructura a un ciclo periódico de revisiones que permitan evitar todo este tipo de malos usos.
¿ALGÚN CONSEJO PARA QUE EL USUARIO QUE USE ZITY LO HAGA DE FORMA CIBERSEGURA?
Hablaría de consejos en materia de ciberseguridad en general, no para el Zity o para una infraestructura en concreto. Hoy en día, una de las asignaturas pendientes es la concienciación de nuestros usuarios cuando usan plataformas digitales. Es una labor que tenemos que hacer a nivel personal y profesional. Mi consejo es seguir incidiendo en esta concienciación de cara al buen uso de una infraestructura o de cualquier servicio que ponemos a disposición de la gente, que todavía no está todo lo concienciada que debería de estar.
¿QUÉ TIPO DE COLABORACIÓN SIGUE FERROVIAL CON RENAULT EN MATERIA DE CIBERSEGURIDAD PARA ZITY?
Yo diría que, al final, lo importante es tener un modelo para gestionar seguridad. El modelo que tenemos nosotros aplica a cualquier tipo de servicio o producto que Ferrovial pone en el mercado, de cualquiera de los productos que utiliza nuestro negocio para generar más negocio. De lo que hablamos es de un modelo en el que, cuando tienes un socio, tienes que consensuar con él ese modelo en el que estableces qué niveles de riesgo eres capaz de permitir o de aceptar, qué serie de controles tienes que desplegar para gestionar ese riesgo y consensuar cómo lo vas a hacer. Eso es lo que se ha hablado con Renault a nivel de coche, que es la parte en la que participa.
¿RENAULT ES UN COLABORADOR PROACTIVO O SE DESENTIENDE EN CUESTIONES DE CIBERSEGURIDAD?
Yo creo que hoy en día, Ferrovial apuesta por proveedores con sensibilidad, no solo en ciberseguridad sino en cualquier otro tipo de materia. En ese sentido, nos sentimos confortables con él.

HABLANDO DEL VEHÍCULO EN CONCRETO, ¿QUÉ TIPO DE REQUISITOS EXIGE O BUSCA FERROVIAL EN EL MODELO ELEGIDO PARA QUE PRESTE EL SERVICIO?
Yo te diría que los fabricantes, por defecto, ya manejan unas listas de seguridad, de los controles que debe llevar un coche. Se parte de ahí para consensuar, en base también a la experiencia de nuestros socios tecnológicos, qué debería tener un coche. Cuando vemos que el coche cumple con lo que debería tener, nos sentimos confortables. Esto, obviamente, no es solo los requisitos que pides sino cuando tú mides el grado de despliegue de estos requisitos, cuando haces tus revisiones, ves si efectivamente se cumple con lo que tú querías que el coche tuviera en materia de ciberseguridad.
O SEA, PARTEN DE LA INFORMACIÓN PROPORCIONADA POR EL FABRICANTE PARA VER SI CUADRA CON LOS REQUISITOS QUE USTEDES EXIGEN.
Sí. Esto como siempre, es importante tener buenos socios. De partida se cuenta con un buen socio, y, a partir de ahí, se enriquece el modelo de control que, entendemos, debemos desplegar alrededor de este servicio.
A LA HORA DE ELEGIR EL MODELO -DE COCHE- EN CONCRETO, ¿USTEDES HAN TENIDO EN CUENTA REQUISITOS DE CIBERSEGURIDAD?
En este caso, el modelo es uno de los clásicos eléctricos de Renault. De partida, el modelo elegido permite desplegar las medidas que tú quieres. Luego esto se enriquece: ten en cuenta que el coche solo es parte de un servicio. Hay que tener en cuenta que el coche encaje dentro de lo que queremos, pero son más cosas.
“El car sharing, las iniciativas que tienen que ver con movilidad, van a acabar con escenarios que han durado mucho tiempo. Uno de ellos es el comprar coches”.
HABLANDO SOBRE ESTE SERVICIO EN GENERAL, ¿CREE QUE ES EXPANDIBLE A OTRAS CIUDADES?
No es una respuesta que me corresponda a mí dar. Obviamente, Zity es un negocio exitoso y quiero entender que sí, que hay planes de expansión. Pero no soy yo el que debe responder a esto, no me encargo de ello.
¿CÓMO VE LA PROYECCIÓN DE ESTE TIPO DE NEGOCIO VIENDO LA EVOLUCIÓN DE LA MOVILIDAD?
La movilidad, como negocio general, desde luego es algo que va a más y Ferrovial obviamente es sensible a esta transformación que estamos viviendo en cualquier escenario de movilidad. Desde luego, todo lo que tenga que ver con movilidad, de personas o de mercancías, es algo que va a más, a más, a más. Y para estar posicionados, hay que ser de los primeros en probar tecnologías, en hacer cosas disruptivas, para cuando estas cosas acaben explotando. Esto no ha hecho más que empezar. El car sharing es solo un escenario más de lo que la movilidad va a dar de sí.
¿DIRÍA QUE EL CAR SHARING VA A ACABAR O A REDUCIR MUCHO EL MODELO DE PROPIEDAD PRIVADA DEL AUTOMÓVIL?
Sí, sí, sí, desde luego. Es mi opinión, pero lo hará. Todo lo que tiene que ver con la movilidad, va a dar mucho de sí, va a generar nuevos negocios, va a cambiar la forma en que las personas hoy en día hacen muchas cosas y, desde luego, hablando en concreto no de movilidad, sino del car sharing, de las iniciativas que tienen que ver con movilidad, van a acabar con escenarios que han durado mucho tiempo. Uno de ellos es el comprar coches. La propiedad privada de los coches. Yo creo, y esto también es una opinión personal, que todo ese modelo tenderá a desaparecer y dará paso a nuevos modelos de movilidad y de compartición de elementos de movilidad que evolucionará a otros escenarios que hoy en día ni siquiera concebimos.