¿Pueden hackear mi coche? La ciberseguridad afecta también a los coches conectados

El avance hacia vehículos cada vez más conectados ha supuesto una revolución en la interacción entre usuarios y sus medios de transporte. Esta innovación, más allá de mejorar la experiencia de conducción mediante la incorporación de servicios avanzados, ha contribuido también a elevar la eficiencia y la seguridad en la movilidad.

Sin embargo, este progreso hacia una conectividad total entre los vehículos está despertando cierta preocupación por la ciberseguridad. ¿Pueden hackearnos el coche? ¿Qué consecuencias tendría en materia de seguridad? La conectividad los hace más susceptibles a un abanico más amplio de ciberamenazas, lo que supone un reto tanto para fabricantes, como conductores, entidades reguladoras e, incluso, un posible problema para los propios viandantes en caso de hackeo.

¿Qué entendemos exactamente por un coche conectado? Se trata de vehículos que se comunican con capacidad para intercambiar información con el entorno, convertidos prácticamente en centros de datos móviles. Son, en definitiva, computadoras con ruedas capaces de recibir actualizaciones de software de manera remota que impactan en la conducción, de una forma u otra (por ejemplo, en la navegación, en los sistemas de seguridad, etc.).

A pesar de sus innegables ventajas, la conectividad en este tipo de vehículos abre la puerta a eventuales ciberataques. ¿En qué pueden consistir? El acceso remoto no deseado podría concluir desde una exposición de datos personales hasta comprometer la seguridad física de los ocupantes si se hackea el sistema de forma malintencionada. Incidentes como el hackeo demostrativo a un Jeep Cherokee en 2015 ponen de manifiesto la realidad de estas amenazas y la necesidad de adoptar medidas de protección.

Uno de los mayores temores de un ciberataque en un coche se centra en el acceso remoto: los hackers pueden acceder al sistema de varias formas, como explotando vulnerabilidades en el software del vehículo, empleando técnicas de phishing dirigidas a sus propietarios, o mediante la interceptación directa de la comunicación entre el coche y la red. ¿Qué puede suceder si nos hackean el coche? Las consecuencias pueden ser de diversa índole. En el “mejor” de los casos, los ciberatacantes podrían filtrar los datos personales del conductor; en el peor, podrían llevar a cabo un control remoto de los sistemas del vehículo provocando un potencial accidente, como el caso del Jeep antes indicado.

Ante estas nuevas amenazas, se han establecido marcos normativos y regulaciones internacionales destinadas a reforzar la ciberseguridad de los vehículos conectados. En este sentido, normativas como la ISO/SAE 21434, los reglamentos 155 y 156 del Foro Mundial para la Armonización de la Reglamentación de los Vehículos (WP.29) de la UNECE, o el procedimiento SERMI (‘Forum for Access to Security-Related Vehicle Repair and Maintenance Information’, en su nombre completo) resultan determinantes, ya que proporcionan directrices para la gestión de riesgos e imponen a los fabricantes la obligación de actualizar continuamente sus sistemas de seguridad.

La normativa ISO/SAE 21434, resultado de la colaboración entre la International Organization for Standardization (ISO) y la Society of Automotive Engineers (SAE), establece un marco exhaustivo para abordar la ciberseguridad en todo el ciclo de vida de los coches conectados. Esta norma pone el énfasis en la identificación y gestión de riesgos, la puesta en marcha de medidas de seguridad y la respuesta ágil ante incidentes de ciberseguridad. Este enfoque integral garantiza que la ciberseguridad sea considerada como primordial en el desarrollo y mantenimiento de los vehículos, es decir, durante todo su ciclo de vida.

Complementando esta iniciativa, los reglamentos R155 y R156 establecen requisitos específicos para los sistemas de gestión de ciberseguridad y la gestión de actualizaciones de software. Mientras que el R155 se centra en la protección de los vehículos contra ciberataques y la gestión eficiente de incidentes, el R156 asegura que las actualizaciones de software se realicen de forma segura, sin introducir vulnerabilidades adicionales. Por otro lado, el procedimiento SERMI – solo de obligatorio cumplimiento en la Unión Europea – proporciona un mecanismo para garantizar que la información de reparación y mantenimiento sea accesible de forma segura, permitiendo a los talleres autorizados (concesionarios multimarca e independientes) realizar reparaciones sin comprometer la integridad del vehículo.

Con la publicación de la norma ISO/SAE 21434 en agosto de 2021, se espera que tanto estos como los proveedores comiencen a adoptar sus directrices de forma progresiva. Esta normativa les pide que evalúen riesgos, implementen un sistema de gestión de la ciberseguridad y desarrollen procedimientos para responder a incidentes y vulnerabilidades. Este enfoque integral garantiza que la seguridad no se limite a la fase de diseño o producción, sino que se mantenga como un proceso continuo a lo largo de toda la existencia del vehículo.

Por su parte, los reglamentos R155 y R156 de la UNECE introducen requisitos para que los fabricantes implementen sistemas de gestión de ciberseguridad y gestionen las actualizaciones de software de manera segura, respectivamente. Los fabricantes, para la comercialización en la U.E., debían cumplir con este reglamento desde enero de 2022 para nuevas homologaciones, mientras que la obligación se extenderá a todos los coches nuevos a partir del 1 de julio de 2024. Con respecto al procedimiento SERMI, se aplica en España desde abril de 2024, cuando se han acreditado entidades a nivel nacional para evaluar a los operadores independientes y garantizar el acceso seguro a la información de reparación y mantenimiento.

Los fabricantes de vehículos son conscientes de esta nueva realidad y han desarrollado medidas de seguridad de vanguardia, como la puesta en marcha de sistemas de detección de intrusiones, o el cifrado de datos y protecciones contra la eventual manipulación del software del vehículo. Así, por ejemplo, los vehículos equipados con sistemas de detección facial permiten el acceso sin llave al reconocer el rostro del conductor u ocupantes autorizados. Cuando una persona se acerca al vehículo, una cámara situada en el exterior captura su imagen y la compara con una base de datos de rostros autorizados almacenada en el sistema del vehículo. Si hay una coincidencia, las puertas se desbloquean automáticamente.

Entre estas nuevas iniciativas, destacan la adopción de sistemas de detección de intrusiones, la aplicación de protocolos de cifrado de datos, y el desarrollo de sistemas seguros de gestión de actualizaciones de software. Los sistemas de detección de intrusiones vigilan constantemente la red del vehículo en busca de actividades sospechosas, permitiendo una respuesta rápida ante posibles ataques. El cifrado de datos asegura que la información personal y de funcionamiento del vehículo permanezca protegida, mientras que la gestión segura de las actualizaciones de software garantiza que las mejoras y correcciones se implementen sin introducir nuevas vulnerabilidades.

Por otro lado, los fabricantes están colaborando con socios tecnológicos y participando en plataformas y consorcios de intercambio de información sobre ciberamenazas, como el Automotive Information Sharing and Analysis Center (Auto-ISAC). Estas colaboraciones les permiten compartir y recibir información sobre las últimas amenazas y vulnerabilidades, de forma que se pueda dar una respuesta conjunta a los ciberataques.

Los propietarios de coches conectados pueden desempeñar un papel fundamental en la ciberseguridad de sus vehículos con simples medidas, como mantener actualizado el software del vehículo, utilizar conexiones WiFi y Bluetooth con precaución, no almacenar información personal innecesaria en el sistema del vehículo, y estar alerta ante el phishing.

En caso de sospechar que su vehículo ha sido comprometido, es muy importante contactar de inmediato al fabricante o al concesionario para informar sobre cualquier comportamiento anómalo y buscar asesoramiento. Temporalmente, puede ser conveniente desactivar las funcionalidades conectadas del vehículo, cambiar las contraseñas de las cuentas asociadas al mismo y revisar estas cuentas en busca de actividad inusual.

El Centro de I+D de MAPFRE, CESVIMAP, ofrece recursos y conclusiones sobre investigaciones llevadas a cabo en materia de ciberseguridad en los coches. Su enfoque en identificar vulnerabilidades y formular estrategias de defensa es de gran ayuda para avanzar hacia vehículos más seguros, y esto abarca también a la ciberseguridad en los coches conectados.

“Los coches conectados y con control eléctrico de la dirección, frenos y motor, así como los cargadores eléctricos, pueden ser hackeados de forma relativamente sencilla. El sector de la automoción está poniendo su esfuerzo en limitar y controlar las vulnerabilidades, y desde CESVIMAP les acompañamos y asesoramos en todo su camino”, comenta Enrique Zapico Alonso, director del Mobility Lab de MAPFRE en CESVIMAP.

En resumen, la ciberseguridad en los coches conectados sigue evolucionando a medida que aumentan las amenazas. Las sinergias entre los diferentes players del mercado, de cara a estrategias de defensa, son fundamentales. Asumiendo estos retos en conjunto, se puede garantizar que el avance hacia una movilidad inteligente y conectada sea, al mismo tiempo, seguro para todos.

ARTÍCULOS RELACIONADOS: