Ataques

Cumbre de la OTAN en Madrid: ¿son ciberseguros los vehículos de los jefes de estado más poderosos del mundo?

Madrid está viviendo la que se ha calificado como una de las cumbres mundiales más importantes de la historia. Los máximos dirigentes del mundo se han concentrado en una ciudad y, por eso, la seguridad está siendo máxima. Pero, ¿se ha considerado la ciberseguridad de los vehículos empleados?

Foto del presidente del Gobierno de España, Pedro Sanchez y del secretario general de la OTAN, Jens Stoltenberg
Foto: Moncloa

Cerca de 40 delegaciones han llegado a España para la celebración de la cumbre de la OTAN 2022, que todos los expertos consideran la más relevante de este organismo desde la caída del Telón de Acero. No solo por las temáticas que se van a abordar y por el futuro de la organización, sino por el perfil de los presentes estos últimos días de junio en Madrid.

Por todo lo anterior, se nos está hablando a diario de las ‘burbujas’, cordones, controles, pasillos, protocolos… y todo tipo de medias de seguridad encaminadas a que los mandatarios de países como Estados Unidos, Francia, Alemania, Turquia, Reino Unidos, Italia, Canadá o Italia, entre otros, puedan tener una estancia en España a salvo de cualquier tipo de problema o inconveniente.

Pero… ¿Qué pasa con la ciberseguridad? Y, más concretamente, ¿qué sucede con la ciberseguridad de los vehículos en los que se van a desplazar las diferentes comitivas a las distintas reuniones, traslados a los hoteles, visitas a lugares de ocio?

Respecto a lo primero, no hay duda de que se han tomado las medidas oportunas, sobre todo porque sobrevuela la certeza de que Rusia va a intentar, de alguna manera, llevar a cabo algún ciberataque durante la cumbre que pueda afectar el transcurso de la misma.

Precisamente, y según OK Diario, un grupo de seis crackers rusos que se autodenominan los ‘Sandworn‘ estarían siendo especialmente vigilados por el equipo del Centro Criptológico Nacional -organismo dependiente de nuestro Centro Nacional de Inteligencia-, ante la sospecha de que se pueda intentar un ataque de gran envergadura. Y es que la mayoría de los expertos consultados coinciden en destacar que Rusia es, en estos momentos, la gran amenaza en el ciberespacio para Europa.

Desde allí han venido los últimos ciberataques de relevancia y con motivo de la invasión de Ucrania, la actividad de los crackers rusos no ha dejado de aumentar. En todo caso, para que desde ahora hasta el 30 de junio no suceda nada, desde el Ministerio de Interior aseguran que «por parte de agentes especializados en ciberdelincuencia adscritos a la Comisaría General de Policía Judicial se ha incrementado la monitorización de las redes, tanto en fuentes abiertas –redes sociales, foros, blogs o webs- como en la Deep Web. Todo ello para detectar cualquier recurso o información que pueda suponer una amenaza».

A lo que no se hace mención es… a la ciberseguridad de los vehículos y a la de ciertas infraestructuras. Centrándonos en lo primero, habría que preguntarse si los modelos utilizados están preparados para repeler o no sufrir un ciberataque, y cuáles pueden ser sus puntos más vulnerables.

Los coches que se venden en la actualidad -y que también emplean los altos cargos- ya incluyen o pueden incluir, de forma opcional, sistemas tecnológicos de seguridad, de confort, de comunicación o de entretenimiento susceptibles de ser atacados por personas con los conocimientos suficientes para acceder a ellos -física o remotamente- y alterar su funcionamiento, tomar su control o monitorizar la información que gestionan tanto de entrada, como de salida.

Según los expertos de EUROCYBCARlos puntos más atacados en un automóvil son los servicios en la nube -que ya empiezan a utilizar muchas marcas, desde Mercedes a Volkswagen o Renault- con un 21,40% de casos. El sistema de acceso y arranque sin llave ocupa la segunda posición, con nada menos que un 18,78% -muy abultado, si tenemos en cuenta lo extendido que está este sistema en los coches nuevos-.

El puerto OBD -entrada y salida principal de datos referidos a los componentes mecánicos- cierra el podio con un 10,48%. Y -ya en una posición algo más retrasada- el 7,42% de ataques se efectúan a través de las aplicaciones móviles que permiten controlar funciones del coche a distancia a través de un smartphone.

De entre los ejemplos arriba citados, quizá uno de los más potencialmente peligrosos sea el OBD. Este conector está presente en prácticamente todos los coches fabricados desde mediados de los años 90. Y con el equipo adecuado, es posible leer -y alterar- las instrucciones que permiten -por ejemplo- que los frenos «frenen», o que entren en funcionamiento -o se desconecten- las luces y los limpiaparabrisas… con los peligros que todo eso puede conllevar mientras se circula por carretera.

Por otro lado, los coches conectados son ya una realidad. La conexión a Internet ya ha empezado a extenderse a todos los vehículos del mercado, incluso los de precio más asequible. Y eso les permite intercambiar, enviar y recibir datos e información con otros dispositivos –móviles, ordenadores…-, otros vehículos que circulen por la carretera o con centros de control e infraestructuras –semáforos, señalización, parkings, telepeaje…-. No hay que olvidar que, en el caso concreto de los altos cargos, esta información puede ser muy sensible y materia de Seguridad Nacional.

El robo de información personal es el segundo gran riesgo, máxime en el caso de las personalidades de tan alto nivel como son las que acuden estos días a la cumbre de la OTAN. En este otro tipo de ataques el cracker aprovecha cualquier micrófono o visor instalados en el vehículo como, por ejemplo, el sistema manos-libres Bluetooth o las cámaras frontales de las diversas ayudas a la conducción. Con uno o varios de estos dispositivos bajo su control el cracker puede espiar conversaciones privadas o, incluso, triangular en directo la ubicación geográfica de los ocupantes.

Lo cierto -y verdaderamente preocupante- es que cualquier vehículo moderno está, desde que se pone en marcha, intercambiando datos de manera constante con su entorno digital -smartphones, tabletas, infraestructuras viales…-.

Foto: Blogspot.

Y además, estos medios de conectividad pertenecen, a su vez, a la misma red interna que en cada automóvil controla elementos mecánicos críticos como la dirección, frenos o sistemas de seguridad activa -entre otros, los ‘airbags’-. Es decir, que a través de un sistema «secundario» del coche es posible acceder a los dispositivos principales del vehículo, muchos de ellos relacionados con su seguridad.

saltar de una capa a otra es perfectamente factible. En 2015 Charlie Miller y Chris Valasek demostraron -con un Jeep Cherokee- que, penetrando en el sistema a través de la conexión 4G del sistema multimedia, podían llegar a intervenir sobre elementos como el motorlos frenos o el volante.

¿Y qué pasa con la ciberseguridad?

Pero tan importante como proteger los vehículos que van a moverse estos días por Madrid -y, además, casi siempre a una velocidad muy elevada-, también lo es securizar los diferentes tipos de vehículos que forman parte del dispositivo de seguridad y emergencias.

Hablamos de los que forman parte de las flotas de Policía Nacional, Guardia Civil, Ejército, ambulancias, bomberos… y cuyo correcto funcionamiento es indispensable para que, en el caso de que algo suceda, se pueda responder de manera rápida y eficaz para evitar mayores consecuencias.

Porque no es ninguna broma a lo que pueden estar expuestos; el mejor ejemplo lo vimos cuando la Policía del Estado de Virginia, Estados Unidos, llevó a cabo un proyecto con unos resultados preocupantes.  En las pruebas, los crackers consiguieron atacar coches no conectados Internet.

Para hacerlo, instalaban dispositivos en los vehículos con los que reprogramaban su electrónica, introduciendo código malicioso; o creaban un canal de transmisión para atacarlos desde dispositivos móviles. Podían arrancarlos, apagar el motor, cambiar de marchas y provocar un aumento repentino en las revoluciones. Incluso, directamente, podían acelerar sin que nadie pisara el pedal.

Pero, ¿cómo se puede saber si todos los vehículos a los que nos hemos referido son ciberseguros y pueden proteger tanto la privacidad de las personas que viajan a bordo de los mismos… como sus vidas? Bastaría con que los distintos modelos contasen con un certificado de ‘vehículo ciberseguro’. Es decir, que ha sido sometido a una serie de pruebas -de acceso físico, remoto o de la app vinculada al vehículo- para comprobar su nivel de ciberseguridad.

En eso consiste, precisamente, el test desarrollado por la empresa tecnología EUROCYBCAR -cuya CEO es Azucena Hernández-, con sede en Vitoria-Gasteiz y que fue la primera en crear, en todo el mundo, un protocolo de pruebas que mide el nivel de ciberseguridad de cualquier vehículo de acuerdo a la normativa UNECE/R155 y empleando la metodología propia ESTP.

De momento, solo un vehículo en todo el mundo ha obtenido el certificado de vehículo ciberseguro otorgado por EUROCYBCAR/AENOR: se trata de una moto eléctrica, la NUUK CargoPro, de una firma que también es vasca.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.