Todo empezó a principios de siglo con unas sencillas modificaciones de centralita para aumentar la potencia de los motores. Desde entonces, los problemas de ciberseguridad detectados en los coches han crecido hasta situarse en 155 incidentes en 2019, según datos de Upstream Auto.
Un periplo de 20 años en el que tanto los investigadores como los crackers han descubierto nuevas vulnerabilidades en los vehículos, así que los riesgos han ido variando.
Este es un breve repaso a la evolución de los incidentes de ciberseguridad en los coches.
Más potencia a base de reprogramar
En los primeros compases del siglo XXI se empezó a difundir una idea muy tentadora: era posible potenciar los motores de los automóviles con un ordenador. La clave estaba en las reprogramaciones de las centralitas electrónicas de los vehículos, las cuales conseguían modificar la potencia del motor y la forma en que esta se entrega. Algo que ya se venía aplicando desde hacía varios años, pero que entonces empezaba a tener su protagonismo en la prensa. Y no hacía falta coger destornilladores ni mancharse de grasa. Era todo informático.
Fueron las primeras muestras de que los coches ya tenían componentes electrónicos que podían ser fácilmente modificados. Eso aún no podía hacerse sin tener acceso físico al vehículo porque todavía no estaban extendidas las tecnologías de conectividad, pero sentaba las bases para ello.
Primeras investigaciones que dan la voz de alarma
Cuando finalmente se democratizó la conectividad en los coches, se tardó poco en descubrir que era la principal fuente de problemas de ciberseguridad.
En 2005, unos investigadores de Linux publicaron un análisis en el que demostraban que se podían espiar las conversaciones de los ocupantes de otros automóviles. Incluso interactuar con ellos accediendo al micrófono a través del Bluetooth. El problema estaba en que muchos de los dispositivos Bluetooth de los vehículos tenían una clave de acceso muy sencilla de adivinar, como «0000» o «1234».
Dos años más tarde, un nuevo estudio de Inverse Path reveló otro fallo de los sistemas multimedia de algunos coches. Esta vez, en el sistema de navegación. La investigación mostró que era posible alterar la ruta programada en el GPS mediante el envío de señales falsas de ondas de radio FM. El engaño se lograba porque las señales que emitieron los investigadores suplantaban las auténticas que informaban sobre el estado del tráfico o si hay obras en la calzada, entre otros datos.
Una vez detectados los problemas, era cuestión de tiempo que alguien con malas intenciones diera con la forma de aprovecharse de ellos.
Hasta ese momento, aún no se había demostrado que esos ataques pudieran influir de forma directa en el movimiento físico del coche. Pero eso cambió con el informe de 2010 del Centro de Seguridad de Sistemas Embebidos Automotrices -CAESS-, al que pertenecen investigadores de las universidades de California y de Washington.
Ese estudio descubrió que se podían desactivar los frenos, frenar selectivamente las ruedas y parar el motor si se conectaba un dispositivo a la toma OBD-II, la cual es obligatoria en todos los coches desde hace dos décadas para, por ejemplo, facilitar el diagnóstico de una avería en los talleres. A través de ese puerto, pudieron romper la seguridad de la red e incrustar un código malicioso en la unidad telemática de un automóvil con los resultados ya comentados.
Llegan los primeros ataques
Una vez detectados los problemas, era cuestión de tiempo que alguien con malas intenciones diera con la forma de aprovecharse de ellos.
Y eso pasó en 2010. El culpable fue un empleado estadounidense descontento porque acababa de ser despedido del concesionario donde trabajaba. Consiguió inmovilizar más de 100 coches y hacer que sus bocinas sonasen como locas. ¿Cómo lo logró? A través de un sistema que bloquea los automóviles y activa su claxon a distancia en caso de que el dueño no abone las cuotas del vehículo. Se trata de una herramienta con la que cuentan algunos concesionarios para evitar ‘morosos’. Pero el ex trabajador logró acceder a ella sin permiso y la utilizó para vengarse por su cese.
Este caso es uno de los primeros ciberataques de los que se tiene constancia. A él, le siguieron otros de muy diversa tipología: robo de información de las bases de datos de las marcas; numerosas sustracciones de vehículos, tanto individuales como masivas; problemas con las aplicaciones…
Además, los investigadores han proseguido sus estudios sobre las vulnerabilidades de automóviles, de forma que han revelado varios problemas más. El caso más famoso, sin ninguna duda, aquel en el que dos hackers invitaron a un periodista a dar un paseo en un coche mientras ambos se quedaban en tierra para manipular desde la distancia el sistema multimedia del vehículo. A través de él, lograron accionar el aire acondicionado, los limpiaparabrisas y el equipo de audio sin que el conductor hiciera nada. También los frenos, la transmisión y ¡apagaron el motor!
Otros investigadores han logrado manipular la trayectoria de coches en modo de conducción autónoma. Incluso se ha logrado engañar vehículos con métodos muy simples, como con un proyector o un carrito.
Esto ha supuesto un aumento constante de las vulnerabilidades descubiertas en vehículos, hasta alcanzar los 155 casos el año pasado. Una cifra que pone de manifiesto dos hechos: los coches tienen cada vez más sistemas que pueden ser vulnerables, pero las investigaciones para detectarlos antes que los malos también están creciendo.
¿Y el futuro?
Parece claro que los coches traerán de serie más y más tecnologías de conectividad. Por tanto, los sistemas que puedan ser víctimas de un ciberataque también estarán presentes en mayor número de vehículos.
Pero los diversos actores del sector ya se están moviendo para solucionar esos problemas.
Se presenta un futuro en el que los ciberataques a los coches evolucionarán. Pero también lo harán las medidas para hacerles frente.
Para empezar, a partir de 2022 solo se podrán homologar en Europa coches que sean ciberseguros desde sus primeras fases de producción. Es decir, aquellos vehículos que no cumplan determinados requisitos para garantizar su protección contra ciberataques no se venderán. Esas condiciones afectan a todo el proceso vital del coche, desde que se empieza a diseñar hasta que llega al desguace. Todo parte de una normativa que está desarrollando ahora mismo la ONU y que la Comisión Europea va a imponer como obligatoria en todos los países miembros de la UE.
Antes de que obligue la legislación, la industria también está adoptando medidas desde hace algunos años. Los fabricantes, por ejemplo, están empezando a implementar programas de Bug Bounty, con los que recompensan a aquellos hackers que descubran fallos informáticos en sus coches y se los notifiquen para solucionarlos.
También los proveedores están desarrollando tecnologías teniendo presente si son ciberseguras o no. Un ejemplo es el sistema Perfectly Keyless de Bosch, que promete ser la solución para evitar los robos a través del sistema de arranque y entrada sin llave -el ciberataque más común en vehículos-.
Por último, hay que destacar que el año pasado arrancó el primer test que permite saber si un vehículo es ciberseguro. Lo puso en marcha la empresa vitoriana EUROCYBCAR, cuya prueba mide si los coches protegen la privacidad -los datos- de las personas que viajan en ellos y, lo que es aún más importante, su vida. Una idea que permite comparar qué nivel de ciberseguridad ofrece cada vehículo.
Se presenta un futuro en el que los ciberataques a los coches evolucionarán. Pero también lo harán las medidas para hacerles frente. Igual que ha sucedido en el pasado.
