El coche conectado, un sueño para los 'hackers'

Ordenadores sobre ruedas. Así es como los ejecutivos de automción y gurús de la tecnología e innovación venden los avances en conectividad en los vehículos. Y es cierto: hoy es imposible encontrar un modelo a la venta en el mercado que no tenga una centralita ni funcionalidades de conectividad, ya sea con internet, con el teléfono o con ambos.

Carlos Tavares, el consejero delegado de Stellantis, el quinto mayor fabricante de coches por volumen, afirmó que pretende generar 20.000 millones de euros en ingresos de software para el año 2030. Esa misma fecha, el Grupo Volkswagen –que ocupa la segunda posición– espera que un tercio de su facturación provenga de servicios asociados a la conectividad de sus vehículos.

La explicación es sencilla. Los fabricantes llevan la mayor parte de la década enfocando sus esfuerzos en dar el paso al coche eléctrico, un proceso que viene asociado a una factura de miles de millones de euros –y que se está encontrando con resistencia por parte de los compradores–. Una gran diferencia que tienen los cero emisiones de los térmicos es que tienen muchas menos piezas de desgaste y, por lo tanto, una factura menor de mantenimiento a lo largo de su vida útil.

Para contrarrestar la menor frecuencia de visitas al taller, las marcas buscan una vía de ingresos recurrente, a través de suscripciones mensuales o anuales en sus vehículos.

Ejemplos de ello son el desbloqueo de potencia adicional, una funcionalidad disponible en Kia, de navegación a través de Google Earth (Audi) o de desbloquear los asientos calefactados (Tesla o BMW).

Estas funciones pueden ser vendidas como una manera de mejorar la experiencia del cliente –en muchos casos lo son–, pero también añaden una capa de complejidad que puede ser explotada por 'hackers' para acceder al vehículo.

Hace un año, un grupo de informáticos alemanes descubrió que, al bajar el voltaje momentáneamente de la centralita, podían generar un error que les permitía acceder al sistema operativo de Tesla y desbloquear funciones como los asientos calefactados, además de poder comprobar datos confidenciales sobre el dueño. «Afortunadamente, el coche es nuestro», afirmaron después de presentar sus hallazgos en la conferencia de seguridad informática Black Hat. «Simplemente nos negábamos a pagar 300 dólares por los asientos calefactados».

Aunque los alemanes compartieron la vulnerabilidad con Tesla, que ya ha resuelto el problema, el ataque puso de manifiesto que el bloqueo de algunas funciones es un incentivo para los piratas.

Aunque el 'hackeo' de vehículos pueda conjurar imágenes de frenazos en mitad de la autopista, de volantes controlados de manera remota o deextorsiones a cambio de abrir las puertas, la realidad está más cerca del acceso y venta de información personal y financiera, mucha de la cual está ligada a estos servicios conectados que venden las marcas.

Cada nueva aplicación que se puede instalar en el sistema multimedia de un vehículo es potencialmente una entrada para el sistema y el riesgo se ve amplificado con la participación de terceros, algo cada vez más frecuente en el desarrollo de software y hardware de automoción. El ejemplo inmediato es el del Tesla, cuya centralita está fabricada por AMD. El año pasado, otro investigador de seguridad informática consiguió entrar a la centralita de múltiples Honda, Nissan, Acura e Infiniti a través del sistema de SiriusXM Connected Services.

Este es otro de los problemas que tienen las vulnerabilidades informáticas a los vehículos: lo rápido que se pueden expandir por el resto de víctimas susceptibles sin mucha resistencia. Según la empresa de ciberseguridad israelí Upstream, de 1.1.73 ataques a automóviles conocidos desde 2010, un 23% se produjeron en 2022. «El mundo de la automoción está décadas por detrás de las empresas informáticas en lo que a seguridad se refiere», afirman.

Un estudio elaborado por la Fundación Mozilla –especializada en la valoración sobre la privacidad informática– era rotundo: «Los coches son la peor categoría de privacidad que hemos revisado». Desde la organización, analizaron 25 marcas de automoción –muchas de ellas en Estados Unidos– y llegaron a la conclusión de que ninguna de ellas cumplía sus estándares satisfactoriamente. Todas recopilaban más información personal de la necesaria –dónde se conduce, la velocidad, la música que se reproduce...–, la mayoría (84%) afirma que los datos generados se pueden compartir con terceros y un 79% de ellas puede venderla.

Desde 2020, 17 de los fabricantes analizados (68%) por la fundación Mozilla habían sufrido algún tipo de filtración o ataque que comprometiera la información personal de sus conductores. El problema es que estos siguen pensando en sus coches como algo a lo que llenar de gasolina y cambiar las ruedas, y no en los potenciales riesgos que conllevan.

La información de los conductores no solo puede verse comprometida por los vehículos, sino que las bases de datos de organismos oficiales también pueden servir para iniciar un ataque. Recientemente, salieron a la venta los datos de más de 30 millones de vehículos gracias a una brecha en la Dirección General de Tráfico.

Los criminales, al contar con el número de teléfono y la matrícula de los vehículos, llevaron a cabo una estafa telefónica haciéndose pasar por la DGT en la que afirmaban que el coche había sido multado y los redirigía a una pasarela de pago para abonar el importe, que aún se encontraba en periodo bonificado.

• Temas
• Automóviles
• Motor
• Ciberseguridad
• Coches eléctricos