El pasado 6 de julio, entró en vigor en la Unión Europea la obligación para todos los fabricantes de automóviles de incorporar una serie de sistemas de asistencia al conductor –ADAS– en sus nuevos modelos. Aunque han pasado casi desapercibidos, entre ellos se encuentran los sistemas de medición del sueño y el estado de alerta.
La mayoría de las marcas se decantan por dispositivo de rastreo ocular o reconocimiento facial, a través de los cuáles detectar los síntomas de fatiga. ¿Qué implica esto? Básicamente, que los habitáculos de los vehículos incorporen cámaras con las que observar lo que ocurre en su interior.
Cuando oímos hablar de cámaras, rápidamente salta el debate sobre el equilibrio entre seguridad y privacidad. ¿Van a tratar los fabricantes y sus proveedores con un dato tan sensible como es nuestro rostro? ¿Pueden caer esas imágenes en malas manos? ¿Las podrían solicitar las autoridades…?
La ley de Protección de Datos es suficiente
En primer lugar, conviene que lo dejemos claro una vez más: lo cierto es que no resulta para nada sencillo acceder a este tipo de sistemas internos de un coche. ¿La razón? La mayoría de fabricantes han hecho los deberes, y todo opera en una suerte de “sandboxing”.
Esto significa que si el cibercriminal consigue acceder a uno de los sistemas, va a tener complicado pasar desde él a otros con los que cuente el vehículo.
Hoy por hoy, todavía hay poca información acerca de cómo se tendrán que implementar este tipo de sistemas de identificación del cansancio de forma regulada. No obstante, el Reglamento General de Protección de Datos -RGPD- deja claro que los datos biométricos deben contar con medidas extra de seguridad para prevenir potenciales usos malintencionados. Además, son datos que sólo se podrán recoger cuando sea estrictamente necesario para el funcionamiento básico del sistema.
Aunque en la práctica sea difícil separarlo, lo cierto es que, para que el sistema funcione, podemos distinguir por un lado sus variables cuantificables: número de parpadeos, inclinación de la cara con respecto al cuerpo…
Por otro lado, encontraríamos datos claramente identificativos, como el reconocimiento de las facciones o del iris. Esos son los que, por ley, los fabricantes tienen que evitar registrar, centrándose en su lugar en datos de métrica fisiológica.
El almacenamiento, local mejor que en la nube
A mi modo de ver, hay algo que sí que tiene que quedar claro a este respecto. El almacenamiento de esa información -que no debería ser identificativa de la persona, sino puramente estadística- debería hacerse siempre en local. Y si así fuese, la única manera de comprometer el sistema de forma remota sería mediante ataques dirigidos. De lo contrario, los cibercriminales tendrían que perpetrar el ataque de forma presencial, lo que minimiza bastante el riesgo.
Y es que, en líneas generales, los riesgos de este tipo de sistemas son los de cualquier otro que gestione datos biométricos. Sólo tenemos 10 huellas dactilares en las manos, dos ojos… y una sola cara. En el momento en el que un cibercriminal roba nuestro patrón biométrico maestro, estamos vendidos, ya que no podemos simplemente cambiarlo por otro. Es algo innato en nosotros y, por tanto, no intercambiable. Afortunadamente, también es cierto que gestionar patrones biométricos es sensiblemente más complicado que gestionar contraseñas.
En realidad, resulta realmente complicado sistematizar los patrones que revelan si una persona en particular está cansada o distraída. Ya por 2015 se publicó un estudio de la Universidad de Clemson -Gran Bretaña– en el que se constaba que inferir el estado de somnolencia de un conductor por sus variables fisiológicas era aún más difícil que hacerlo por sus propias variables de conducción.
Es decir, que antes de intentar identificar si ese giro del rostro se debe en efecto a que la persona tiene sueño, se puede constatar mejor su estado si analizamos otras cosas. Por ejemplo, cuántas veces ha rozado los límites de la carretera, y cómo está tomando las curvas. Los proveedores de estas tecnologías deben realizar un estudio muy completo de los patrones asociados a estos estados peligrosos al volante, e implementar un sistema lo más equilibrado posible entre causa y efecto.
Las dudas que persisten
Se habla por ejemplo de que, al identificar alguno de ellos, el sistema podría lanzar una alerta acústica. Algo que podemos considerar aceptable, pero, ¿dónde ponemos los límites? ¿Debe el sistema parar el motor en caso de que claramente detecte sueño en el conductor? Y de hacerlo, ¿con qué medidas de seguridad lo haría y bajo qué circunstancias? No es lo mismo que eso ocurra en una calle de ciudad, que en una autopista…
Por otra parte, ¿estará el sistema sincronizado con los sistemas nacionales de emergencia en carretera?; ¿y con el tratamiento de datos de conducción que guarda el fabricante? ¿Podría acabar siendo revendido a terceros -por ejemplo, una compañía de seguros-?
Además, por supuesto, debe tomar todas las medidas de seguridad oportunas para cumplir la RGPD. Y esto pasa no solo por securizar el sistema en sí; sino, como decía anteriormente, por aislar métricas fisiológicas… sin almacenar ni tratar datos biométricos. Puede parecer lo mismo, pero el diablo está en los detalles.
Con las métricas fisiológicas, la RGPD es bastante más laxa que con los segundos, ya que dichas métricas no se consideran identificativas de la persona. En este caso, la legislación actual es más que suficiente para proteger al usuario de los riesgos de privacidad, ya que el sistema no necesita identificar al usuario.
Además, siempre se puede llegar a engañar al software para que deje de detectarnos cansados. Los sistemas de inteligencia artificial se basan en el análisis de patrones. Sabiendo qué patrones identifica, podemos eludirlos. Habría que ver, por ejemplo, qué pasará cuando alguien viaje con gafas de sol.
En este punto, lo que más me preocupa no es la posible tergiversación interesada del conductor, sino los falsos negativos y positivos que se desprenden de la heterogeneidad de situaciones y costumbres al volante. La clave está en cómo separar las métricas fisiológicas lo suficiente como para que no acaben siendo también identificativas de la persona -bien sea de forma directa, o indirecta mediante tergiversaciones de terceros-.
