Exclusivas

El problema que podría tener el coche que estrena el Rey

En sus últimas visitas institucionales por España, el monarca está utilizando uno de sus vehículos más modernos, protegidos y tecnológicos. Pero... ¿Es suficientemente ciberseguro?

Imagen de S.A.R. D. Felipe VI en Jaca
© Casa de S.M. el Rey

Un gesto que no está pasando desapercibido en la actual crisis del coronavirus es la implicación de la Casa Real. Desde que comenzase la llamada ‘desescalada’, Sus Majestades han viajado a diferentes puntos de la geografía española para transmitir su apoyo y conocer -de primera mano- la situación de los ciudadanos, empresas e instituciones locales.

En estos viajes, emplean -como exige la importancia de su posición- un vehículo oficial. En su caso, se trata del último adquirido por la Corona hace exactamente un año, como publicó entonces El Confidencial. Éste está destinado tanto al transporte de su majestad el Rey Felipe VI como a satisfacer las necesidades de movilidad de otros miembros de la Familia Real o, incluso, autoridades de naciones extranjeras en visita por nuestro país.

Imagen de un Mercedes S600 Guard

Concretamente, este vehículo es un Mercedes-Benz Maybach S600 Guard, uno de los modelos más exclusivos de la estrella. Como corrobora el documento oficial -emitido por la Administración General del Estado-, la de Mercedes-Benz Retail S.A.U. fue la única oferta recibida -bajo requisitos secretos- durante el periodo de licitación -entre el 3 de julio y el 13 de agosto de 2019-.

¿Qué se sabe de este coche?

Que es uno de los mejor blindados del mundo. El refuerzo integral de su carrocería y cristales -que elevan su peso a 4,5 toneladas, prácticamente el doble que el vehículo ‘de serie’- es capaz de aguantar el disparo de armas de asalto ligeras, como por ejemplo un AK-47 o un M16. La protección contra explosivos es también de primera: puede soportar un estallido de 15 kilos de dinamita a apenas dos metros de distancia.

Mientras el VIP no abandone el vehículo, ni el mejor francotirador del mundo podrá alcanzarlo. Diversos elementos de kevlar en los mamparos interiores del chasis se complementan con un apantallado en la cara posterior de los reposacabezas traseros.

Este nivel de tranquilidad tiene un precio: 549.945€ -tras añadir los correspondientes impuestos sobre los 454.500€ licitados-. Para la Administración su importe ha sido el criterio dominante en la adjudicación, con un 60% de la valoración total. Su nivel de blindaje se ha ponderado con un 15% y, por último, el plazo de entrega garantizado por la marca ha supuesto el 25% restante.

¿Pero es un coche ciberseguro?

¿Existe algún escenario en el cual todas estas medidas de seguridad puedan volverse inútiles? Es posible. Sólo hace falta un ciberdelincuente, que en el lenguaje hacker se conoce como ‘cracker’.

Los coches que se venden en la actualidad -y que también emplean los altos cargos- ya incluyen o pueden incluir, de forma opcional, sistemas tecnológicos de seguridad, de confort, de comunicación o de entretenimiento susceptibles de ser atacados por personas con los conocimientos suficientes para acceder a ellos -física o remotamente- y alterar su funcionamiento, tomar su control o monitorizar la información que gestionan tanto de entrada, como de salida.

Según fuentes consultadas por HACKERCAR, los puntos más atacados en un automóvil son los servicios en la nube -que ya empiezan a utilizar muchas marcas, entre ellas Mercedes- con un 21,40% de casos. El sistema de acceso y arranque sin llave ocupa la segunda posición, con nada menos que un 18,78% -muy abultado, si tenemos en cuenta lo extendido que está este sistema en los coches nuevos-.

El puerto OBD -entrada y salida principal de datos referidos a los componentes mecánicos- cierra el podio con un 10,48%. Y -ya en una posición algo más retrasada- el 7,42% de ataques se efectúan a través de las aplicaciones móviles que permiten controlar funciones del coche a distancia a través de un smartphone.

De entre los ejemplos arriba citados, quizá uno de los más potencialmente peligrosos sea el OBD. Este conector está presente en prácticamente todos los coches fabricados desde mediados de los años 90. Y con el equipo adecuado, es posible leer -y alterar- las instrucciones que permiten -por ejemplo- que los frenos “frenen”, o que entren en funcionamiento -o se desconecten- las luces y los limpiaparabrisas… con los peligros que todo eso puede conllevar mientras se circula por carretera.

Por otro lado, los coches conectados son ya una realidad. La conexión a Internet ya ha empezado a extenderse a todos los vehículos del mercado, incluso los de precio más asequible. Y eso les permite intercambiar, enviar y recibir datos e información con otros dispositivos –móviles, ordenadores…-, otros vehículos que circulen por la carretera o con centros de control e infraestructuras –semáforos, señalización, parkings, telepeaje…-. No hay que olvidar que, en el caso concreto de los altos cargos, esta información puede ser muy sensible y materia de Seguridad Nacional.

La conectividad se convierte, así en el vector de ataque más sencillo. Mercedes-Benz cuenta en toda su gama con navegadores que ofrecen la opción de actualizar, en tiempo real, la ruta prefijada. Para ello recurre a una señal RDS –radiotransmisión de datos- procedente del exterior, cuya información utiliza para recalcular el itinerario. Un cracker podría alterar la señal con el código necesario para redirigir al chófer –sin que éste lo advirtiera- hacia un lugar propicio para, por ejemplo, tenderle una emboscada.

¿Y qué ocurre con los datos personales?

El robo de información personal es el segundo gran riesgo, máxime en el caso de una entidad fundamental del Estado como es la Corona. En este otro tipo de ataques el cracker aprovecha cualquier micrófono o visor instalados en el vehículo como, por ejemplo, el sistema manos-libres Bluetooth o las cámaras frontales de las diversas ayudas a la conducción. Con uno o varios de estos dispositivos bajo su control el cracker puede espiar conversaciones privadas o, incluso, triangular en directo la ubicación geográfica de los ocupantes.

Lo cierto -y verdaderamente preocupante- es que cualquier vehículo moderno está, desde que se pone en marcha, intercambiando datos de manera constante con su entorno digital -smartphones, tabletas, infraestructuras viales…-. Y además, estos medios de conectividad pertenecen, a su vez, a la misma red interna que en cada automóvil controla elementos mecánicos críticos como la dirección, frenos o sistemas de seguridad activa -entre otros, los ‘airbags’-. Es decir, que a través de un sistema “secundario” del coche es posible acceder a los dispositivos principales del vehículo, muchos de ellos relacionados con su seguridad.

Y saltar de una capa a otra es perfectamente factible. En 2015 Charlie Miller y Chris Valasek demostraron -con un Jeep Cherokee- que, penetrando en el sistema a través de la conexión 4G del sistema multimedia, podían llegar a intervenir sobre elementos como el motor, los frenos o el volante.

¿Qué se está haciendo al respecto?

Agencias de seguridad como el FBI llevan alertando –desde el 2016– que el peligro de ciberataques contra coches y camiones es completamente real, y mantiene desde entonces una serie de recomendaciones para los propietarios de coches conectados, con el objetivo de prevenir posibles atentados terroristas basados en la manipulación electrónica remota de un vehículo.

En nuestro continente la Comisión Europea ha publicado informes y estudios dirigidos a los fabricantes -como Daimler, Volkswagen o PSA-, con la intención de fomentar que el ‘software’ de los coches nuevos se desarrolle tomando la ciberseguridad como prioridad.

¿Y el Mercedes S600 Guard es ciberseguro? ¿Ha superado alguna prueba?

Como puedes ver, el peligro existe y tiene maneras de manifestarse. Pero, ¿qué maneras hay de comprobar si un coche así es seguro frente a todo esto? La respuesta a esta pregunta constituye la labor de empresas como EUROCYBCAR.

EUROCYBCAR es el primer test en el mundo que evalúa el nivel mínimo de ciberseguridad que tiene un vehículo. Se basa en dos parámetros. El primero de ellos es la privacidad de los datos de todas las personas que viajan a bordo de un automóvil sean o no propietarios, conductores o pasajeros habituales del mismo. El segundo –y más importante aún- es valorar la facilidad de acceso a los sistemas que intervienen en la conducción, y que pueden poner en riesgo la vida de los ocupantes o de otros usuarios.

¿Y este Mercedes, qué puntuación ha obtenido en el test?

Por el momento, desde EUROCYBCAR confirman que el modelo seleccionado no ha pasado por sus instalaciones sitas en Vitoria, aunque aseguran estar preparados para analizar y evaluar su nivel de ciberseguridad, si así lo solicita la Administración General del Estado o la propia Casa Real.

Avatar
La redacción de HACKERCAR la componen periodistas que trabajan en colaboración con expertos en tecnología y ciberseguridad. Hablamos de vehículos, de movilidad, de consejos... y también nos gusta el formato audiovisual. ¿Tienes algún tema que te gustaría que tratásemos o investigásemos? Escríbenos a redaccion@hackercar.com

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.