Hace seis años, Charlie Miller y Chris Valasek –grandes expertos en ciberseguridad- demostraron el nuevo peligro que les acecha a los vehículos y a sus conductores.
Usando un ordenador, demostraron cómo podían hacerse con el control completo de un coche –exactamente un Jeep Cherokee– que estaba a más de 15 kilómetros de distancia.
Tal y como cuentan en AVG Signal, frenos, transmisión, pantalla, radio, limpiaparabrisas, aire acondicionado etc… El coche entero estaba controlado por Miller y Valasek. Estos vulneraron la seguridad del sistema conectado a Internet para controlar el vehículo de forma remota.
Con ello, consiguieron demostrar lo fácil que es hacerse con el control de un coche. Además, su fin principal era concienciar de la importancia de tomarse enserio las amenazas cibernéticas, puesto que estos ataques ponen en riesgo la vida de los conductores.
El problema de las nuevas tecnologías
En la mayoría de los casos, lo que más miedo les da a las personas que se ponen al volante es perder el control del coche.
En la actualidad, a este hecho hay que sumarle que, al estar los vehículos cada vez más informatizados, otras personas pueden arrebatarnos ese control.
Para los cibercriminales, la digitalización y la automatización han hecho que conseguir el control de un coche sea algo más sencillo y fácil. Esto se debe a que los coches conectados comparten constantemente información con su entorno.
Para poner más difícil la obtención del control del coche a los crackers y poder evitar sustos, hemos consultado a los expertos de EUROCYBCAR para que nos diesen distintos consejos para proteger nuestro vehículo de los ataques cibernéticos… sobre todo en estos días que se avecinan de puentes y festividades navideñas.
¿Recomendaciones? Muy sencillas
Hay 10 pasos a tener en cuenta:
1//Tras abrir y cerrar el coche, es importante que se vigile el uso de las llaves para que no roben su señal. Para evitar que pirateen la llave es importante no utilizar el mando en sitios que no se consideren seguros.
2//Cuando no se este usando el mando, hay que garantizar su protección ubicándolo en un sitio donde los cibercriminales no puedan acceder a la señal. En estos casos, se recomienda el uso de bosas especializadas que bloquean la comunicación del dispositivo con el exterior, como las bolsas Faraday.
3//Hay que ser conscientes de que ningún coche se salva del hecho de poder ser manipulado, pero, según el grado de digitalización su ataque será más fácil. Es decir, los coches más digitalizados tienen más probabilidades de ser atacados. Por ello, hay que saber qué partes son más vulnerables y estar pendientes de su estado.
4//Una solución común para todos los tipos de ciberataques son las actualizaciones. En los coches es muy importante mantener actualizado el software. Las actualizaciones son las que tienen las protecciones necesarias para evitar un ataque.
5//Antes de conectar los dispositivos USB al vehículo hay que comprobarlos con el antivirus, ya que los USB son los principales puertos que contienen softwares maliciosos.
6//En relación con el anterior punto es aconsejable no conectar dispositivos que no sean nuestros. No sabemos saber si la otra persona tiene un buen control de sus dispositivos. El riesgo está en todos lados.
7//Es importante apagar el Wifi y el Bluetooth cuando no se estén utilizando. Estas dos funciones son las que más utilizan los ciberdelincuentes para tomar el control del vehículo y para robar datos, puesto que son las que más generan tráfico de información. Quizás una actualización reciente no evite que un tercero no deseado se cuele a través de las puertas que implican las conexiones, por ejemplo si se aprovechase la nueva tecnología que implica el 5G. Cabe añadir que no se le debe ofrecer a la ligera el servicio de conexión propio a alguien, a no ser que sea de la más absoluta confianza y cercanía.
8//Como establecen los expertos de ciberseguridad de EUROCYBCAR, hay que tener cuidado con los dispositivos que conectamos al OBD2. Este es un puerto de comunicaciones que permite conocer y modificar los elementos electrónicos del vehículo; así que deben conocerse su ubicación y sus distintas aplicaciones. Como advertencia añadida, algunas compañías de seguros venden dispositivos que a su vez se adaptan al anterior y explican los hábitos del conductor, pensados para adaptar los precios de los seguros en base a ello. A cambio de una buena manera de ahorrar, el dueño del vehículo conectado ofrecerá más posibilidades a los crackers para atacar e incluso controlar su coche.
9//Vigilar las descargas y las aplicaciones que se utilizan es necesario. Muchas de ellas pueden hacer un gran daño no sólo en nuestro vehículo, sino también en nuestro móvil. Prácticamente todos los teléfonos ya vienen con un acceso a las aplicaciones oficiales de la marca -Google Play para los Android y App Store para los iPhone-. Unas tiendas que disponen de sus propios métodos de ciberseguridad con el fin de que no haya allí apps peligrosas o maliciosas pero, como destacan desde la OSI, no es algo infalible y siempre puede haber apps que se cuelen. Y es ahí donde tienen que entrar las medidas que sigan los usuarios.
La primera es mirar el número de descargas que tiene la aplicación, lo cual siempre ayuda a distinguir cuál es la app oficial y no la fraudulenta, porque la primera se habrá descargado muchísimas más veces. La segunda es mirar lo que opinan otros usuarios: los comentarios y valoraciones son interesantes para saber si la app es útil, si funciona bien, si hay algo ‘raro’ detrás… y las encontrarás en el apartado ‘puntuaciones y opiniones’. Como tercera medida, comprueba quién ha creado la aplicación; es decir, vistita la página web de la empresa que la haya creado o echa un vistazo en Google para conocer quién está detrás. Encontrarás el nombre en el aparato de ‘Contacto del desarrollador’ o en ‘Ficha técnica’.
En cuarto lugar, y bastante importante -incluso en las apps legítimas- es revistar los permisos que solicita la aplicación al instalarse. Y es que cuando te la bajes, y antes de que la abras, te solicitará diversos permisos para funcionar -que pueden ir desde acceso a tus fotos y contactos hasta conexión a Internet-, pero también otros que quizá estén de más. Como ejemplo, la OSI asegura que si te bajas una app para editar fotos es normal que te pida acceso a las que tengas almacenadas en el móvil y al control de la cámara… pero que una aplicación para consultar el tiempo no debería tener acceso a la cámara bajo ningún concepto.
10//Mantener el contacto con el fabricante es esencial para que este pueda indicarnos sobre las actualizaciones de software o de las llamadas a revisión. Estas mantendrán a punto la seguridad de nuestro coche.
BONUS EXTRA: Que te digan si un vehículo es ciberseguro. Ya existe una empresa con sede en Vitoria-Gasteiz que se encarga de esa tarea; se llama EUROCYBCAR y ha desarrollado el primer test que mide y certifica el nivel de ciberseguridad de un vehículo. Se trata de un producto que, incluso, se adelantó a la entrada en vigor de la normativa UNECE/R155 -en enero de 2021-, que incluye una serie de 70 requisitos que se analizan en los vehículos para determinar si son ciberseguros.
Esta normativa, aplicable a coches, furgonetas, camiones, autobuses, remolques, caravanas… pero, curiosamente, no a motocicletas, será de obligado cumplimiento en los países de la Unión Europea a partir de julio de 2022 para los vehículos de nueva homologación, y dos años más tarde, en julio de 2024 lo será para todos los vehículos nuevos que se vendan.
…y cuando estés fuera del coche
Vale, si aplicas lo anterior, ahora puedes estar un poco más tranquilo con tu ciberseguridad en el coche. Pero ¿hay algún hábito que puede p,oner en peligro tu privacidad o alguna recomendación que seguir para aumentar tu ciberprotección? Sí, estos:
- Realiza copias de seguridad de tus dispositivos antes de viajar. Que alguien te robe el ordenador, la tablet o el smartphone es un fastidio. No solo por su valor material -precio-, también por el inmaterial -la información que contenían-. Si no quieres perder todos los datos que almacenases en ellos, es mejor que realices una copia de seguridad antes de iniciar tus vacaciones. Así podrás volcar la información en el nuevo dispositivo que reemplace al robado.
- No te conectes a wifis públicas. Una red wifi gratis es muy tentadora. Sobre todo, cuando estás fuera de casa durante periodos largos de tiempo y los datos de internet se te agotan en seguida. Pero no es aconsejable que te conectes al primer sitio gratuito que encuentres. La Oficina de Seguridad del Internauta -OSI- afirma que “las redes públicas pueden ponernos en peligro. Tanto el administrador como alguno de los usuarios conectados pueden utilizar técnicas para robarnos información”. Por eso, aconseja que, si se puede evitar, mejor no conectarse nunca a una red pública. ¿Y si no lo puedes evitar? En ese caso, desde OSI recomiendan deshabilitar cualquier proceso de sincronización de nuestro, mantener siempre el equipo actualizado, con el antivirus instalado correctamente, tener precaución a la hora de navegar por páginas cuyos datos no viajan cifrados -la URL no empieza por HTTPS-, no iniciar sesión en ningún servicio y no realizar transacciones bancarias, compras online o cualquier otra tarea que suponga el intercambio de datos privados.
- No publiques información de tus vacaciones en redes sociales. Seguro que te has hecho muchos selfies en un lugar idílico que quieres compartir con todos tus contactos de Instagram, pero mejor hazlo a la vuelta. Decir públicamente que estás de vacaciones equivale a decir a los cuatro vientos que tu vivienda está vacía. Cuidado con los ladrones.
