Entrevistas

Esta es la mujer que más sabe de coches y ciberseguridad

Cuando hablamos del presente y del futuro del mundo del Motor, la gente habla de ecología, tecnología, seguridad... ¿y qué pasa con la ciberseguridad? Esto es lo que dice la persona que más sabe de estos temas en España.

Durante los días 5 y 6 de febrero se está celebrando en Madrid el Congreso de Faconauto 2020, considerado uno de los eventos más importantes de automoción de España, por ser el gran escaparate del sector de la distribución, por la gran afluencia de profesionales que acuden -más de 1.400 en la última edición- y por los contenidos que en él se tratan.

Precisamente, en la edición de este año se ha puesto sobre la mesa un asunto fundamental para el sector: las amenazas a las que van a tener que hacer frente los concesionarios, sobre todo aquellos que no tengan en cuenta la ciberseguridad.

Y no es sólo una cuestión relacionada con las bases de datos o información sensible de los miles de clientes que quieren adquirir un vehículo… sino con los propios coches que allí se venden, que pueden ser crackeados con el objetivo, entre otros, de controlar cualquier de sus dispositivos electrónicos de manera remota -a distancia-, lo cual puede suponer un riesgo para la vida de los pasajeros.

Quien más sabe acerca de este tema es una periodista y empresaria española, Azucena Hernández, que es la CEO de la empresa EUROCYBCAR. Una compañía que ha desarrollado el primer test de ciberseguridad en todo el mundo destinado a los vehículos. Precisamente, Azucena ha sido la protagonista y la encargada de inaugurar el primer Digital Talk de Sumauto.

Se trata de una serie de conversaciones, organizadas por este especialista en portales verticales de motor de Vocento -que aúna a Autocasión, AutoScout 24, Unoauto, Motocasión y Mascus– cuya primera temática fue la ciberseguridad y, concretamente, si están los concesionarios preparados para hacer frente a las posibles amenazas de los crackers, las posibles medidas para evitarlo…

Durante la charla, Azucena Hernández habló acerca de cómo descubrir el mundo de la ciberseguridad le había cambiado la vida por completo, y que eso la llevó a crear EUROCYBCAR, una empresa para medir la ciberseguridad de los vehículos. «EUROCYBCAR es un reflejo de lo que siempre ha sido una constante en mi vida: preocuparme por la seguridad de las personas que viajan en un coche y por la seguridad de sus datos».

Si quieres saber todo lo que se dijo en la entrevista publicada -y también lo que no-, a continuación te reproducimos íntegro el texto de la conservación que mantuvieron Isabel García, Directora de marketing, comunicación y contenidos de Sumauto, junto con Azucena Hernández.

Azucena, eres periodista versátil, experta en seguridad, empresaria, ¡piloto! Oye, ¿qué te queda por hacer?

Pues aunque parezca lo contrario… creo que es ahora cuando queda lo mejor por hacer o lo más bonito. Estamos teniendo la suerte de vivir una revolución en lo que es el mundo de la movilidad de las personas, y es un privilegio estar aquí para vivirlo y poder aportar algo muy importante: la ciberseguridad.

Se habla de medios de transporte conectados, eléctricos, autónomos… y nosotros vamos a contribuir para que todos sean ciberseguros. Porque hablamos de proteger la privacidad de la gente y su vida, que es lo fundamental.

15 años al frente de Autofácil, que creaste también. Al frente de ONE Magazine y ONE Hacker -donde fuiste premiada por la Agencia de Protección de Datos por uno de tus artículos-, CEO de EUROCYBCAR, el primer test que mide el nivel de ciberseguridad de un coche…Una trayectoria que rematas siendo una de las personas en España que más sabe sobre ciberseguridad en los vehículos conectados.

En realidad, te diría que estoy en pleno aprendizaje de lo que es la ciberseguridad y su aplicación al mundo de la movilidad. Y ese aprendizaje lo estoy haciendo de la mano de los mejores, que son todos los expertos que componen EUROCYBCAR.

Digamos que es un sector en el que hay que estar continuamente formándose y aprendiendo, porque las amenazas contra las distintas formas de movilidad no dejan de evolucionar y, por lo tanto, la ciberseguridad también debe hacerlo. Y eso también es una de las cosas que pretendemos con el test de EUROCYBCAR , que mide el nivel de ciberseguridad de los vehículos y que va a ir actualizándose constantemente para analizar esas nuevas amenazas que surgen a diario.

A lo mejor por eso no te debería extrañar que te hayamos traído a un búnker. El mayor exponente de la protección, el refugio y la sensación de sentirse a salvo. Y claro, si hablamos de coches, nos preguntamos si podemos convertir nuestro coche en un búnker a salvo del hackeo, que con el desarrollo tecnológico del automóvil, una IP con ruedas, le hace ser vulnerable a posibles intromisiones. Se habla incluso del hackeo del coche como el próximo siniestro. ¿Podemos poner a salvo el coche?

Realmente ya existen iniciativas. Sin ir más lejos, nosotros, una empresa española, hemos desarrollado el primer programa mundial de pruebas cuyo fin es verificar el nivel de ciberseguridad de los vehículos, basándonos en dos parámetros. Por un lado, cómo proteger la privacidad de los datos que manejan las personas que viajan dentro de un automóvil –los datos-. Por otro, y lo más importante, cómo protege la vida.

Da miedo imaginar que pueden acceder a manejar los frenos de tu coche de manera remota o incluso que puedan controlar la dirección…Sin embargo, ¿son todos los vehículos vulnerables a un ciberataque?

Lo son todos aquellos que dispongan de un mínimo de tecnología a bordo… es decir, prácticamente todos. Basta con que dispongan de sistemas como Bluetooth, navegador, llamada de emergencia -que es algo obligatorio en los coches nuevos que se comercializan desde abril de 2018-, llave con mando a distancia, airbag o una aplicación que permita controlar datos y funciones del vehículo desde tu móvil.

Entonces, ya que prácticamente todos los coches son susceptibles de hackeo, igual que revisamos el aceite o comprobamos la presión de las ruedas, cada vez será más necesario verificar la ciberseguridad de todos ellos de manera habitual, ¿no?

Realmente sí, pero antes hay que dar un primer paso, porque en este momento, por sorprendente que resulte, ninguna marca puede asegurar que sus coches que salen de sus cadenas de montaje son ciberseguros, es decir que protegen correctamente los datos privados de los que viajan a bordo y, lo que es más importante, su vida. Y, de hecho, desde el año 2012 ya se han registrado casos de ciberataques a coches.

¿Podrías contarnos alguno de estos casos?

El caso más conocido fue el de dos expertos en ciberseguridad que en 2015 fueron capaces de tomar el control a distancia de un vehículo, accionando los frenos, desconectando el motor en plena autopista… Este incidente provocó la llamada a revisión de 1.4 millones de coches de esa marca… Sin contar el coste reputacional, claro.

¿Y se conocen más casos?

En 2016, un fallo de seguridad en el sistema de apertura permitía abrir las puertas de los modelos de ocho marcas muy conocidas utilizando tan sólo un dispositivo de, no te lo pierdas, 30 euros.

¿30 euros? Eso está al alcance de cualquier. Entonces, ¿cómo prevenimos que nos crackeen el coche?

Primero, comprando un coche ciberseguro, igual que te compras que compras un coche que sabes que es seguro gracias a EuroNCAP. Es decir, que haya pasado el test EUROCYBCAR, que mide el nivel de ciberseguridad de un coche, basándose en dos parámetros: de qué forma protege los datos privados de los pasajeros a bordo y, lo que es más importante, su vida. A todos los vehículos se les realiza el mismo protocolo de pruebas: por acceso físico, acceso remoto y aplicaciones.

Hay que ser muy precavido con las aplicaciones móviles, que cada vez más fabricantes ofrecen a los conductores para permitirles manejar a distancia varias funciones y consultar datos de su vehículo.

Imagen del interior de un coche.

Pero bueno, supongo que, además de ser precavidos, por fácil de conseguir que sea un dispositivo para hacer un ciberataque, no será tan fácil de llevar a cabo, ¿no?

Precisamente, nuestro test se basa en analizar lo que puede hacer un cracker que disponga de pocos recursos, material que se pueda comprar fácilmente a través de internet o que para acceder a los datos solamente requiera de un software libre… como ejemplo, basta con que una persona conecte un USB con un virus en las tomas del vehículo… para que el coche ‘se infecte’ y pudiera afectar a los sistemas de control y paralizándolo en marcha.

Y de acceder a él, ¿qué le podría hacer un cracker a mi coche?

Por ejemplo, con el dispositivo de llamada de emergencia, un cracker puede conocer tu posición exacta e impedir que si tienes un accidente lleguen los servicios de emergencia… Un cracker puede abrirte las puertas, bajarte las ventanillas, pararte el coche, frenarlo, acelerarlo… y, aunque lo parezca, esto no es ciencia ficción. Nuestros investigadores lo consiguen fácilmente con los coches que estamos sometiendo al Test y, como te he comentado antes, desde el año 2010 existen casos reales por todo el mundo y que afectan a casi todas las marcas.

Entonces si es tan sencillo infectar un coche ¿los concesionarios podrían tener en su stock coches que lleven un virus sin ellos saberlo?

Sí, pero lo más grave no es que esos coches en stock tengan un virus, lo más grave es que ese coche de serie no lleve implementados sistemas de ciberseguridad como sí los lleva de seguridad.

Las puertas de acceso a los sistemas de seguridad, como el airbag y los frenos no están bien protegidas, algo que pone muy fácil el trabajo a los ciberdelincuentes.

Y hablando de protección, en los resultados del Test EUROCYBCAR hemos detectado que los puertos USB necesitan más protección porque es muy sencillo infectar diferentes sistemas del vehículo a través de él.

Imagen de Azucena Hernández, CEO de EUROCYBCAR mirando a través de una ventana

Entonces ¿podrían llegar a vender un coche que llevara un virus que pudiera paralizar el sistema operativo de un coche?

Sí, aunque por lo que te he comentado antes, instituciones, marcas y empresas estamos trabajando para que esto no suceda… Y, aunque no lo tuviera en el momento en el que te lo venden, basta con que el usuario que lo ha adquirido descargue una actualización de su coche que no deba para que el vehículo ya esté en riesgo.

¿Qué medidas se están tomando para evitar que eso pase?

Isabel, para eso precisamente se está creando la ISO 21434 que regulará la fabricación de vehículos contemplando la ciberseguridad desde su fase inicial, para obligar a que la ciberseguridad esté presente en cada una de las fases de diseño y montaje de los vehículos. Pero las marcas se están anticipando a esa norma y ya están sometiendo sus modelos al Test EUROCYBCAR y están implementado soluciones para evitar que suceda todo lo que hemos contado. Aunque, ojo, porque no todas las marcas muestran la misma preocupación.

No hay que olvidar que el coche es un gran ordenador sobre cuatro ruedas y, por tanto, deben tener, como mínimo la misma protección que tiene nuestro ordenador del trabajo o el de casa.

¿Y qué responsabilidad tendría el concesionario si a quien compra ese vehículo le pasara algo grave por culpa de ese virus?

Las mismas que hoy tiene cuando vende un coche con un problema que afecta a la seguridad o que tiene un defecto de fábrica.

Imagen de la exposición de un concesionario

Ante este peligro se plantea una duda ¿están los concesionarios preparados para vender coches ciberseguros? A priori no parece que se trate de algo muy desarrollado ¿debe haber un proceso previo de ‘limpieza’ -por entendernos- antes de poner un coche conectado a la venta?

Es muy buena la idea que planteas de la “limpieza” antes de entregar el coche, por ejemplo, algo que se puede hacer en un coche de segunda mano es no venderlo sin haber reseteado los datos, igual que se hace con un móvil.

Sin embargo, eso no evita el gran problema de base: que los coches llevan sistemas antiguos que conviven con tecnología muy moderna y la mezcla provoca que un coche no cumpla los requisitos de ciberseguridad.

Por supuesto, es importante que los concesionarios formen a sus comerciales para que sean capaces de resolver dudas de ciberseguridad a los posibles clientes. Ellos van a tener que ser los primeros en concienciar y aconsejar a la gente sobre cómo utilizar sus coches de manera cibersegura. Van a ser dudas muy habituales dentro de poco.

¿Existe algún caso real de concesionario afectado por un cracker?

Sí, aunque se limitan, por ahora, más a la gestión de la información de los clientes y el proceso de adquisición, que a ataques sufridos a sus vehículos.

Se me vienen a la cabeza dos casos.  El primero de ellos afectó a los concesionarios japoneses de una marca. Unos crackers lograron entrar en la base de datos en la que guardaban la información de millones de clientes. Datos financieros, teléfono, correo electrónico… El fabricante reconoció que podrían haberse hecho con todo eso.

El otro caso fue el de un ciberdelincuente de Kenia que alteró la orden de compra de un concesionario. Modificó el nombre del comprador para ponerse a sí mismo y cambió los modelos encargados. Así se hizo con dos coches gratis.

Estos dos casos muestran que la amenaza de ciberseguridad más frecuente en un concesionario no es que venda un coche infectado, sino un ataque que afecte a los sistemas informáticos del propio concesionario. Lo más probable es que un ciberdelincuente robe o manipule los datos que almacena de sus clientes.

Y esto se está convirtiendo en un problema generalizado. Una encuesta realizada el año pasado en EE.UU. a informáticos que trabajan en concesionarios reveló que el 85 % de los especialistas en informática que trabajan en concesionarios reconocían que el suyo había sufrido un ciberataque en los últimos dos años. ¡El 85%!

Por lo que cuentas, se trata de un peligro más real de lo que pensamos, pero parece que no existe mucha conciencia al respecto. ¿Qué consecuencia tendría para un concesionario sufrir el ataque de un cracker?

Desde luego que es una cuestión a tomarse muy en cuenta, porque afecta a la propia supervivencia del negocio. De hecho, el mismo estudio que te comentaba antes concluyó que el 84% de los consumidores no comprarían su coche en un centro que haya sufrido un ciberataque.

Los concesionarios deben tomarse muy en serio proteger los datos que manejan de sus clientes, pero, sobre todo, garantizar que los vehículos que venden son ciberseguros.

Hay que asegurarse de que todos los coches que se venden en cualquier concesionario hayan superado el test de EUROCYBCAR y que el cliente pueda saber que un determinado modelo o modelos cumple un nivel mínimo de ciberseguridad.

¿No garantizar la seguridad de los vehículos que venden puede suponer sanciones? ¿existe una normativa al respecto que regule esto?

Sí. Por ejemplo, una importante aerolínea sufrió este pasado año una importante sanción por no cumplir con el reglamento de protección de datos. ¿Por qué? Porque le robaron los datos que almacenaba de sus clientes. Un concesionario que no proteja bien la información que almacena podría sufrir cuantiosas multas.

En el caso de los datos sí que existe la normativa GDPR y en cuanto a los sistemas de seguridad en los coches, tras la aprobación de la ISO 21434, directamente no se podrán vender coches que no sean ciberseguros

Imágenes de varios vehículos haciendo cola para acceder a un laboratorio

¿Y los fabricantes están blindados contra esto? ¿En el caso de sufrir un ataque masivo a uno de sus modelos sabrían cómo actuar o todavía no existen protocolos instaurados?

En realidad, nadie está blindado al 100% contra un escenario de ese tipo. Pero sí que se puede prevenir y, desde luego, estar preparados para cuando suceda. Es decir, en caso de que haya un crackeo contra un modelo la marca tiene que actuar de inmediato y aplicar en seguida las medidas correctoras, para que los coches que han sufrido el problema estén arreglados lo antes posible, llamándolos a revisar en su red de talleres.

Entre todos los que trabajamos por la seguridad de conductor y pasajeros, tenemos que conseguir que una llamada a revisión de un modelo por un asunto de ciberseguridad sea vista de la misma forma que cuando es por razones de seguridad. 

Entonces, si ahora vendieran un coche crackeado sin saber cómo actuar ante una reclamación del propietario ¿qué consecuencias tendría que afrontar la marca?

De todo tipo; evidentemente, de tipo económico -por ejemplo, para hacer frente a posibles demandas-, operacional… aunque quizás las consecuencias más graves serían las de tipo reputacional. Tenemos el ejemplo del año 2015 que antes he citado, la valoración de los costes económicos, simplemente de la llamada a revisión, en lo que se refiere a mano de obra de los talleres, fue de unos 10 millones de dólares.

Todos hemos oído hablar de las consecuencias para grandes empresas tecnológicas, como Samsung o Huawei, cuando uno de sus productos ha sufrido un problema de seguridad o ciberseguridad; pues imagina lo que puede suceder en algo tan delicado e importante como es un medio de transporte que utilizan miles y millones de personas a diario… y, ojo, porque estamos hablando de la vida de las personas.

Y cuando se trata de un vehículo usado ¿qué procedimiento debe haber?

Debe existir un protocolo de ciberseguridad en el que, por ejemplo, se contemple que se debe ‘limpiar’ el coche de los datos que hubiera dejado su anterior propietario. Porque, Isabel, no estamos hablando del ataque de un cracker a un vehículo, si no de la falta de concienciación que existe en general sobre la ciberseguridad.

Logo de Eurocybcar, el primer test que mide la ciberseguridad de un coche

Hablamos mucho de infectar con virus, pero los coches guardan mucha información de nosotros y un vehículo a lo largo de su vida, según la experta en inteligencia del automóvil Solera, pasa por 54 transacciones. Es decir, pasa por el taller, cambia de propietario, etc. ¿Cómo proteger el vehículo? ¿Puede ser el concesionario el “informático” que ayude al conductor en esta labor?

Influyen tres aspectos: Por un lado, uno es que el coche sea ciberseguro a la hora de proteger toda esa información que maneja, que recibe y que envía. Ese es uno de los objetivos de un test de ciberseguridad como el que propone EUROCYBCAR.

Por otro, está la propia labor de concienciación que hay que hacer con los usuarios: ¿a que no venderías o entregarías a alguien tu móvil, tablet u ordenador sin antes “limpiarlo” o borrar toda la posible información que contenga? Con los vehículos se debe hacer lo mismo, ya sea cuando devuelves un coche que has alquilado, cuando lo llevas a revisión o cuando lo vendes.

Y, finalmente, los concesionarios y los servicios oficiales deben establecer unos protocolos de comprobación de ciberseguridad, realizados por su personal, quienes previamente han recibido una formación básica en seguridad informática y en protección de datos.

¿Qué papel tienen las aseguradoras en todo esto? ¿existen pólizas que cubran un ciberataque?

Las aseguradoras en este momento no saben si un coche ha sufrido un ciberataque o si, por ejemplo, ha sido robado porque el sistema de apertura del coche ha sido crackeado o, en caso de accidente, si este ha sido provocado porque un cracker ha tomado el control del vehículo.

Estamos trabajando ya con algunas aseguradoras para que en las pólizas se contemple la ciberseguridad… pero queda mucho por caminar.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.