La DGT alerta de nuevos ciberataques que manipulan los frenos y arrancan el coche a distancia

Los ahora denominados 'cracker' pueden modificar a distancia el software de un vehículo. Una práctica que, aunque creciente, no es nueva. Ya en 2010 un equipo de investigadores de las universidades de Seattle y de California (EE UU) demostraron que los coches de última generación eran vulnerables a ciberataques y lograron piratear dos vehículos a los que inutilizaron los frenos y el motor a distancia cuando se encontraban en marcha. Los ataques fueron multiplicándose hasta que en 2018 el FBI alertó a los fabricantes de que estaban en el punto de mira de los 'crackers'.

Desde la Dirección General de Tráfico (DGT) llaman a la calma y aseguran que los fabricantes de componentes llevan años trabajando en la solución. «En tiempo récord, la ONU ha desarrollado una norma que unifica los criterios y los requisitos, e implanta las bases mínimas de ciberseguridad para todos los vehículos», aseguran fuentes de la DGT. Todo esto se ha traducido en el Reglamento UNECE/R155 (la norma ISO/SAE 21434 también recién aprobada no es un requisito legal de obligado cumplimiento, pero servirá a los fabricantes para construir y auditar sus sistemas de ciberseguridad).

Esta normativa UNECE (entró en vigor el 22 de enero de 2021) obliga a que todos los vehículos –automóviles, camiones, furgonetas, autobuses, autocaravanas, etcétera– que se homologuen a partir de julio de 2022 y todos los que se vendan a partir de julio de 2024 cuenten con un certificado de vehículo ciberseguro.

Por su parte Cesvimap (Centro de Experimentación y Seguridad Vial de Mapfre) enumera las medidas que tendrán que tomar los fabricantes. «El Reglamento de la UNECE requiere que los fabricantes mantengan un Sistema de Gestión de Ciberseguridad certificado que debe evaluarse y renovarse al menos cada tres años». Sin ello, fabricantes y proveedores no podrán homologar ni vender vehículos, componentes o software en la UE después de junio de 2022.

Pero las marcas y sus proveedores ya trabajan desde hace años en prevenir estos ataques con mayor o menor éxito. Ford, por ejemplo, asegura a sus clientes que aunque nadie puede garantizar que la transmisión de datos a través de Internet sea segura, ellos tienen un equipo de ciberseguridad para vehículos conectados destinado a proteger su información.

Tal y como ha recogido la empresa Eurocybcar –que cuenta con una base de datos con todos los ataques contra vehículos que se han producido desde el año 2012–, un ciberdelincuente puede emplear el sistema bluetooth para que cuando se vinculen teléfono y vehículo pueda obtener un volcado de tus datos e información personal, utilizarlo para conocer la ubicación y espiar al conductor, acosarlo o suplantar su identidad.

Pero es que también puede atacar el sistema de llamada de emergencia para evitar que lo asistan en caso de accidente. Además, puede activar o desactivar los airbags, tomar el control de dirección y frenos para provocar un accidente, proporcionar información falsa a través del GPS o del sistema RDS de la radio... Asimismo pueden interferir en las apps, cada vez más comunes, con las que el usuario puede controlar desde su móvil y a distancia diversas funciones del vehículo, pero que podrían permitir a un 'cracker' espiar a un usuario, acceder a bases de datos de la marca o arrancar un coche a distancia.

En cuanto a los vehículos autónomos o eléctricos, desde la DGT aseguran, que se abren nuevas formas de ataque, por ejemplo, a su sistema eléctrico o al punto de recarga para provocar desde una costosa avería o robarle, hasta causar un incendio con el consiguiente riesgo mortal.