Ataques

Los vehículos pueden ser pirateados y, según los expertos, es vital que el usuario lo sepa

Poner la calefacción a distancia en un vehículos antes de subir al coche en una fría mañana de invierno es algo que está bien. Lo mismo que disfrutar de un sistema que te avisa si te sales del carril, controlar funciones por la voz o tener Wi-Fi a bordo. Pero ojo con lo que dicen los expertos.

Imagen de un vehículo por una carretera
Imagen generada por una IA de Bing

Y es que aunque los vehículos modernos y plenamente conectados aportan muchas ventajas al usuario, pero para poder cumplir su trabajo, están repletos de microchips y todo tipo de software muy sofisticados que se convierten en puertas de entrada para que los ciberdelincuentes hagan su trabajo.

El resultado es que los vehículos se convierten en objetos muy vulnerables para que los piratas informáticos roben información confidencial -afectando a la privacidad de los pasajeros, de los clientes de esos vehículos o, incluso, del sistema que los controla en el caso de que pertenezcan a una flota- o, lo que es más preocupante, que manipulen elementos que intervienen en la conducción, como la dirección o los frenos. Y no es una opinión aleatoria: es una declaración de todo un experto como Robert Falzon, jefe de ingeniería de Check Point en Canadá.

Falzon asegura que un coche ya pueden saber la velocidad a la que circulas, cuál es tu destino, a qué altitud te encuentras… y todo está informatizado. Sin embargo, considera que desafortunadamente, la ciberseguridad no aparece como la principal preocupación de las personas que han desarrollado todas esas tecnologías embarcadas en los vehículos modernos.

Otro experto, AJ Khan, de la empresa Vehiquilla Inc, proponía un posible ciberataque de lo más inquietante: “Imagina que alguien está conduciendo por la autopista y las puertas se bloquean, el vehículo comienza a aumentar su velocidad y el conductor recibe un mensaje de un ciberdelincuente pidiendo bitcoins o, de lo contrario, chocará el vehículo”. Pues bien, Khan considera que ese escenario ya es posible a día de hoy.

Y es que considera que cualquier automóvil que pueda conectarse a Internet, ya sea eléctrico o de combustión -al fin y al cabo, pueden hacerlo todos los que dispongan de una tarjeta SIM, física o virtual, embebida en el vehículo… y eso es algo obligatorio desde abril de 2018 para que los coches puedan contar con el sistema eCall de llamada de emergencia-, podría estar en riesgo de ser pirateado.

Y no solo eso: Los vehículos eléctricos son especialmente vulnerables a los incidentes de ciberseguridad. En un estudio efectuado en 2022, investigadores de la Universidad Concordia de Montreal encontraron debilidades importantes relacionadas con las estaciones de carga de vehículos eléctricos públicas y privadas en todo Canadá: todas ellas se conectan a Internet. El estudio mostró que las infracciones podrían afectar a los conductores, las centrales eléctricas y la red eléctrica a la que están conectadas.

“La razón por la que hay muchas vulnerabilidades es porque los proveedores y operadores se apresuran a implementar la infraestructura para satisfacer la demanda“, dijo Chadi Assi, profesor de ingeniería de sistemas de información y catedrático de investigación en la Universidad de Concordia.

“Como resultado, la ciberseguridad quedó en segundo plano y no formaba parte del diseño de la infraestructura”, añadió.

Assi explicó que el propietario de un vehículo eléctrico suele conectarse con la estación de carga a través de una aplicación móvil de fácil acceso. Pero muchas de estas aplicaciones de terceros tenían agujeros de seguridad, encontró el estudio de Concordia.

También en 2022 el número de ataques relacionados con programas de aplicaciones automotrices representó el 12 por ciento del total de incidentes, lo que representa un incremento del 380% en comparación con 2021, según destacan los expertos. Una de esas vulnerabilidades, afirna Assi, es que el protocolo utilizado para la comunicación entre el sistema de gestión de la nube -que procesa pagos, entre otras funciones importantes- y las estaciones de carga puede no estar cifrado.

“Si estás realizando pagos -en una estación de carga-, esa y cualquier información privada que introduzcas se puede transmitir en texto plano”, dijo, lo cual convierte esa información sensible en algo susceptible de robo.

Si una estación de carga se ve comprometida, dijo Assi, se podría filtrar información privada de un cliente, como la hora y la ubicación del vehículo. Los piratas informáticos también pueden interrumpir el proceso de carga y dañar la batería, la parte más cara de un vehículo eléctrico.

De momento, las infracciones relacionadas con las estaciones de carga de vehículos eléctricos representan un 4% de los ciberataques a vehículos conectados en 2022.

“Otro aspecto crítico de la ciberseguridad en este ecosistema es la propia empresa de energía”, dijo Assi. Si un ciberdelincuente logra sincroniza varias estaciones de carga y conecta/desconecta el proceso de carga de los automóviles, la red eléctrica podría desestabilizarse, aseguró.

En agosto de 2021 se estableció un estándar global para guiar a los fabricantes de automóviles en la gestión de la ciberseguridad, riesgos que incluyen unidades de control electrónico, software y diversos puntos vulnerables de ataque, como Wi-Fi y Bluetooth. Los fabricantes están trabajando para fortalecer la ciberseguridad en los vehículos, afirmó Khan.

“La ciberseguridad automotriz es un campo muy nuevo”, dijo Khan, y agregó que el riesgo persistirá y el software en constante cambio podría generar nuevas vulnerabilidades. Aún así, el mayor desafío radica en la falta de conciencia entre los consumidores.

Khan dijo que la industria del automóvil se encuentra en un período de transición. Los consumidores van a necesitar tiempo para realizar el paso de “vehículos que nunca tuvieron conectividad o software a vehículos -los modernos de hoy en día- con software del que nuestras vidas han llegado a depender”, aseveró.

Khan sugirió que los consumidores pregunten a los concesionarios de automóviles sobre el software del vehículo y la protección de la privacidad de las aplicaciones de terceros. O, como destacan los expertos del Área Técnica de EUROCYBCAR, también deben preguntar si el vehículo en el que están interesados cumplen con las normativas de ciberseguridad ya en vigor.

“Cuando vas a comprar un vehículo, preguntas sobre características de seguridad como cinturones de seguridad y número de airbags”. “Del mismo modo, pregunta sobre la ciberseguridad, que es básicamente una cuestión de salud y seguridad”.

Imagen generada por una IA de Bing

Otra buena práctica es conocer el software utilizado en el vehículo y cómo afectaría su seguridad si se descarga una aplicación de terceros. Los expertos sugirieron que los conductores también deberían actualizar el software del vehículo periódicamente para evitar ataques de ciberseguridad.

Al vender un vehículo o utilizar una flota de automóviles, los clientes deben tener cuidado al conectar sus teléfonos porque pueden dejar datos.

Otras buenas prácticas incluyen evitar conectarse a Wi-Fi públicas y no mantener las llaves del vehículo cerca de la puerta principal del domicilio u oficina si el coche se encuentra aparcado fuera relativamente cerca, ya que los ladrones pueden usar dispositivos que capturan la señal de radio de un llavero y extienden el alcance para arrancar y robar vehículos de forma remota.

Tim Burrows, productor de Canada Talks Electric Cars, ha estado conduciendo vehículos eléctricos durante 10 años y dice que, hasta hace poco, nunca se había parado mucho a pensar en la ciberseguridad.

“Ahora que el software en realidad ‘conduce el automóvil’, me encuentro pensando más a menudo en la posibilidad de que los actores maliciosos accedan a la red y dañen o controlen el funcionamiento semi-autónomo del vehículo”, afirmó. Una preocupación que será mucho mayor cuando comiencen a popularizarse los vehículos completamente autónomos.


Artículo adaptado de una publicación original de LeaderPost.com

La redacción de HACKERCAR la componen periodistas que trabajan en colaboración con expertos en tecnología y ciberseguridad. Hablamos de vehículos, de movilidad, de consejos... y también nos gusta el formato audiovisual. ¿Tienes algún tema que te gustaría que tratásemos o investigásemos? Escríbenos a redaccion@hackercar.com

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.