Entrevistas

El español tras la norma que va a cambiar el mundo del motor

Pablo Escapa ha hackeado más coches que nadie y trabaja en un reglamento que revolucionará ese mundo... y lo hará más ciberseguro. Así es el Chief Technology and Scientific Officer -CTO- de EUROCYBCAR.

Pablo Escapa sentado en su oficina delante del ordenador

Si hay alguien que sabe en España y en el mundo cómo evitar los problemas de ciberseguridad en los coches, ese es Pablo Escapa -1982-. Este leonés es uno de los mayores especialistas en la materia.

Actualmente, Escapa ejerce como Chief Technology and Scientific Officer -CTO- en EUROCYBCAR, la empresa española que ha creado el primer test para comprobar el nivel de ciberseguridad de los coches. Además, ha investigado a decenas de vehículos y su Trabajo Final de Máster -TFM- sobre sistemas y redes de comunicaciones que equipan los automóviles fue galardonado como el mejor TFM en los Premios de la Red Nacional de Investigación en Ciberseguridad -RENIC-.

Este gurú de la ciberseguridad en los automóviles también forma parte de un grupo de trabajo español que está desarrollando, junto con otros equipos internacionales, una normativa que va a cambiar por completo el mundo del motor. Se trata de un reglamento que está elaborando la ONU para establecer unos requisitos mínimos que deben cumplir los coches para garantizar que sean ciberseguros. Y la Comisión Europea va a imponer que todos los coches vendidos en Europa lo cumplan a partir de 2022.

Es decir, va a ser indispensable que los coches obedezcan esas reglas de ciberseguridad para poder homologarse en Europa. Y Escapa está jugando un papel fundamental en su desarrollo. Así que es la persona idónea para desgranar todas las claves de esa norma… y también para hablar de sus investigaciones.

¿QUÉ ES LO MÁS GRAVE QUE SE VA A EVITAR GRACIAS A ESTE REGLAMENTO?

Se trata de regular los mecanismos que deben equipar los vehículos para ser ciberseguros. Es decir, contar con herramientas tanto para evitar como para mitigar los ataques a los que puedan ser expuestos. La ciberseguridad 100% no existe, pero va a ser muy difícil realizar cualquier ciberataque a un coche si se cumple con toda la normativa. Aunque esto también depende de factores externos como el humano -por ejemplo, que el dueño del coche no descargue actualizaciones ilegítimas– o la habilidad del cracker.

¿QUÉ ALCANCE TIENE ESTA NORMA? ¿SERÁ OBLIGATORIO QUE TODOS LOS COCHES NUEVOS LA CUMPLAN? ¿A QUÉ ÁMBITO GEOGRÁFICO AFECTARÁ?

La norma se aplicará a todos los futuros automóviles vendidos en Europa. Se necesitará un certificado de conformidad en materia de ciberseguridad para poder homologar los vehículos destinados al espacio económico europeo.

“La ciberseguridad 100% no existe, pero va a ser muy difícil realizar cualquier ciberataque a un coche si se cumple con toda la normativa”.

¿QUÉ ESTÁIS APORTANDO TÚ Y EUROCYBCAR A ESTE GRUPO DE TRABAJO?

Aportaremos experiencia, y conocimientos para intentar crear un estándar nacional en conjunción de las normas internacionales.

¿CUÁNTO DINERO VA A COSTAR A LOS FABRICANTES ADAPTARSE A LA NORMA?

Como será de obligado cumplimiento, los costes serán altísimos.

¿QUÉ SISTEMA O TECNOLOGÍAS VAN A TENER QUE CAMBIAR SÍ O SÍ LOS FABRICANTES?

La gran revolución será el sistema de gestión de las actualizaciones online.

¿HABRÁ ALGUNA FORMA DE ADAPTAR LOS COCHES DE SEGUNDA MANO?

Habrá partes que sí y otras que no. Existen diseños actuales que no serán compatibles.

¿VA A AFECTAR A LOS CONCESIONARIOS DE ALGUNA FORMA?

La responsabilidad es del fabricante, pero los consumidores han de acudir a los concesionarios ante cualquier fallo. Estos deberán tener especial cuidado en cumplir una cadena de custodia correcta en la cual nadie pueda manipular un vehículo antes de su entrega.

TENIENDO EN CUENTA LO RÁPIDO QUE CAMBIA ESTE MUNDO, ¿SE QUEDARÁ ANTICUADA ESTA NORMA O ESTÁ PREVISTO QUE VAYA EVOLUCIONANDO?

Las normas tecnológicas deben adaptarse rápidamente de otro modo serán obsoletas. Están en continuo cambio. La que va a aplicarse en Europa, por ejemplo, tendrá una validez de 3 años y cualquier modificación se tiene que comunicar.

TÚ QUE ERES UN GURÚ DE LA CIBERSEGURIDAD, ¿DE QUÉ CREES QUE PUEDE SER LA PRÓXIMA NORMATIVA EN ESA MATERIA?

Creo que el paso más importante es definir de una vez el futuro de las comunicaciones entre los vehículos con cualquier otro elemento -V2X-, si será sobre Wifi o sobre 5G. Hay dos lobbies pegándose porque sea la una o la otra.

¿QUÉ PAPEL JUGARÁ EUROCYBCAR PARA QUE LOS FABRICANTES CUMPLAN EL REGLAMENTO?

Podría ser una entidad certificadora del cumplimiento de la misma, además de ayudar a los fabricantes a implementar soluciones en ciberseguridad para automóviles y que así cumplan con la normativa.

“Se puede efectuar casi cualquier ciberataque en un coche. Abrirlo, cerrarlo, pararlo, eliminar componentes, modificar software… Incluso ser usado por terroristas para causar ataques”.

¿RECOMIENDAS A LAS MARCAS QUE NO SE ESPEREN A LA NORMA Y PASEN YA EL TEST EUROCYBCAR?

Aunque actualmente no esté en vigor, el sello EUROCYBCAR añade confianza al consumidor en la adquisición de un vehículo, dado que la marca se estaría adelantando y podría demostrar que su unidad ha superado una auditoría de seguridad.

¿QUÉ ES LO PEOR QUE PUEDE HACER UN CRACKER A UN COCHE EN LA ACTUALIDAD?

Dependiendo de modelos y el tipo de recursos, se puede efectuar casi cualquier función. Abrirlo, cerrarlo, pararlo, eliminar componentes, modificar software… Incluso ser usado por terroristas para causar ataques.

ERES UNO DE LOS PRINCIPALES INVESTIGADORES EN LA CIBERSEGURIDAD DE AUTOMÓVILES. ¿QUÉ CONCLUSIONES HAS SACADO?

Creo que sí lo soy. Prueba de ello es que el año pasado RENIC -Red de Excelencia Nacional de Investigación en Ciberseguridad- me concedió el premio al mejor trabajo nacional titulado “ciberseguridad aplicada la automoción”. Dicho trabajo es ser sin duda la mayor guía en castellano que incluye todos los vectores de ataque, así como pruebas de concepto.

Desde mi experiencia profesional he trabajado con muchas decenas de coches y he encontrado vulnerabilidades tanto en vehículos de baja gama como en los de alta. Si bien es cierto que los que están dotados de más tecnología son más vulnerables.

¿QUÉ TE LLEVÓ A ESPECIALIZARTE EN CIBERSEGURIDAD DE COCHES?

Este trabajo viene motivado por la combinación de varios factores. Por un lado, el reto que supone la investigación de un mercado que está destinado a ofrecernos una gran revolución como es el sector del transporte. Por otro, el estudio de soluciones en ciberseguridad. Los dos factores contienen un gran  grado de innovación e investigación con un gran potencial empresarial. En ambos sectores tienen cabida elementos comunes como Big data, criptografía, redes de comunicaciones, I+D…

Además de dichos factores, también viene propiciado en aplicación a la experiencia adquirida trabajando en el sector de la automoción durante años.

¿QUIÉNES SON TUS REFERENTES DENTRO DE LA CIBERSEGURIDAD PARA COCHES Y POR QUÉ?

Samy Kamkar y Charlie Miller. Ambos han hecho grandes investigaciones sobre las vulnerabilidades en los coches. Entre otros estudios, Kamkar descubrió vulnerabilidades en el sistema de conectividad OnStar de Chevrolet que permitían localizar, abrir y arrancar de forma remota el vehículo.

Por su parte, Miller llevó a cabo el famoso hackeo a distancia del Jeep Cherokee, que terminó con el coche fuera de la carretera.

¿QUÉ ES LO PRIMERO QUE HACES AL SUBIRTE AL COCHE?

Me monto y echa a andar. Intento hacer mi vida normal.

¿QUÉ LE RECOMIENDAS A UN USUARIO SOBRE CIBERSEGURIDAD EN EL COCHE?

Que sea consciente de cualquier comportamiento anómalo.

¿QUÉ TECNOLOGÍA TE GUSTA MÁS EN TU COCHE Y QUÉ TE GUSTARÍA QUE FUERA CAPAZ DE HACER?

Tengo un BMW y me gusta cómo ha mejorado el sistema de actualizaciones online y su aplicación. Me gustaría que contase con un sistema de detección y prevención de intrusos.

¿ANDROID O IOS?

Apple, con los ojos cerrados. En un vehículo, me quedo con el sistema operativo QNX.

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.