Azucena Hernández, CEO Eurocybcar: “Todos los vehículos que dispongan de un mínimo de tecnología a bordo son susceptibles de recibir un ciberataque”

En un mundo hiperconectado, la ciberseguridad se ha hecho imprescindible para empresas, negocios, hogares… pero también para los vehículos. Eurocybcar, una empresa de Vitoria-Gasteiz especializada en el análisis de la ciberseguridad de vehículos, ha creado el primer test que verifica el nivel de seguridad informática de los coches. Según sus datos desde el año 2012, “los ciberataques contra vehículos e infraestructuras relacionadas con los coches han aumentado un 1.600%”. Azucena Hernández, CEO de la compañía, explica cómo se está implementando la ciberseguridad en los vehículos y los riesgos que existen para los usuarios. 

¿Es la ciberseguridad ya una realidad en el sector de la automoción? 

Desde el año 2012 es una realidad: desde ese año se han robado coches de forma remota, se han ‘secuestrado’ vehículos para pedir una recompensa en bitcoins, se ha accedido a información personal del conductor a través del sistema Bluetooth mientras conducía, se ha bloqueado el acceso al interior del vehículo, se han llamado coches a revisión por un fallo de ciberseguridad…  

No es necesario que un ciberdelincuente recurra a complejas estrategias para acceder al automóvil: puede producirse por algo tan sencillo como descargar música de una web de Internet en un pendrive, conectar ese pendrive al puerto USB de nuestro coche y que al hacerlo estemos introduciendo, de forma inadvertida, un virus o un ‘malware’ que bloquee el sistema operativo del vehículo, provocando que el coche se pare por completo mientras circula.  

Hay que recordar que el coche es como un ordenador, con la única diferencia de que tiene cuatro ruedas y puede circular a 120 km/h. Por lo tanto, se debe proteger de la misma forma o incluso más que un móvil, un ordenador portátil, una empresa…  Además, el futuro inmediato de la movilidad se dirige hacia coches eléctricos, coches autónomos hiperconectados con otros coches, con las infraestructuras, con la nube… por lo que los ataques que pueden sufrir seguirán aumentando de manera drástica si no se toman medidas.  

¿Cómo puede saber un conductor si su vehículo es susceptible a recibir un ciberataque? 

Precisamente, esa es la pregunta que me planteé hace casi tres años y que dio origen al Test Eurocybcar, el primero en el mundo que mide el nivel de ciberseguridad de un coche, basándose en dos parámetros: cómo protege ese vehículo la privacidad de las personas que viajan a bordo -sus datos-; y, mucho más importante, cómo protege sus vidas. 

En este momento son susceptibles de recibir un ciberataque todos los vehículos que dispongan de un mínimo de tecnología a bordo... es decir, prácticamente cualquiera. Basta con que dispongan de sistemas como Bluetooth, navegador, llamada de emergencia -que es algo obligatorio en los nuevos modelos que se lanzaron a partir de abril de 2018-, llave con mando a distancia, airbag o una aplicación que permita controlar datos y funciones del vehículo desde tu móvil. 

Y en la actualidad, y por sorprendente que resulte, ninguna marca puede asegurar que sus coches son los más ciberseguros, entendiendo como tal que protege correctamente los datos privados de los que viajan a bordo y, lo que es más importante, su vida.  

¿Están los conductores concienciados de la posibilidad de que su vehículo sea objeto de este tipo de ataques?  

El nivel de concienciación actual de la sociedad, en cuanto a ciberseguridad automotriz se refiere, es mínima. Hoy en día casi todo el mundo es consciente que debe instalar un antivirus en su ordenador, que debe aceptar y descargarse las constantes actualizaciones que recibe en su móvil, que es una buena práctica tapar las cámaras de los dispositivos…  

De la ciberseguridad en los vehículos no se habla prácticamente nada, cuando ese debe ser el primer paso para conseguir una sociedad concienciada de verdad; una vez que la gente tome conocimiento de lo que supone no utilizar un coche ciberseguro empezará a exigir que los vehículos que compra y utiliza lo sean.  

¿Qué le puede hacer un ‘cracker’ a un coche?  

Pues es posible que un ataque permita a un ladrón robar un vehículo; que sirva a un ‘cracker’ para tomar el control de la dirección o los frenos del vehículo, poniendo en peligro la vida de las personas que viajan a bordo; es posible que te roben información del sistema multimedia -un dispositivo que, como el móvil, almacena mucha información del usuario: sus contactos y mensajes de tu teléfono, su posición, sus fotos, las ruta que realiza, datos personales o de su lugar de trabajo…-; es posible engañar a los sensores del coche provocando un mal funcionamiento de las ayudas a la conducción, con el consiguiente riesgo. Y todo ello con el objetivo de espiar, chantajear, guiar al usuario a un destino peligroso… y, en último término, atentar contra su propia vida. 

Pero se puede prevenir, si de arrancada se usa un coche que cumpla los mínimos requisitos de ciberseguridad, y ese es el papel del Test Eurocybcar: verificar si los vehículos del mercado protegen correctamente la vida y la privacidad de las personas.  

Las pruebas se realizan en un CybercarLab -ubicado en Vitoria-Gasteiz- y, tras la evaluación, Eurocybcar emite una valoración final y un ‘sello’ en función de los resultados obtenidos para que el usuario pueda comparar los coches y saber cuál es el más ciberseguro. 

¿Existen muchos ciberataques en la actualidad? 

En Eurocybcar tenemos registrados, analizados y documentados más de 400 ataques y podemos confirmar que, desde el año 2012 hasta el primer trimestre de 2020, los ciberataques contra vehículos e infraestructuras relacionadas con los coches han aumentado un 1.600%. Y todo parece apuntar que el número real de casos es mucho mayor; el problema es que, debido al desconocimiento de este tipo de fallos de ciberseguridad entre la población, seguramente hay mucha gente que ha sufrido un ataque contra su vehículo, pero no lo han considerado un crackeo al no tener evidencias que así lo demostrasen. 

Por cierto que, aunque según los datos que tenemos registrados un 77% de los ataques se llevan a cabo directamente contra los vehículos, también existe un 23% que tienen como blanco las empresas vinculadas con el mundo del automóvil: alquiladoras, concesionarios, gestores de flotas, parkings, medios de transporte colectivos… 

La buena noticia es que también se empiezan a incrementar las investigaciones: es decir, ataques que se realizan de forma ‘controlada’ con el fin de encontrar vulnerabilidades y fallos de ciberseguridad en un vehículo para ponerles remedio. 

El Gobierno vasco impulsa la ciberseguridad en las empresas vascas a través de la generación de un tejido económico sobre a esta materia, articulado en torno al Basque Cibersecurity Center.