El auge de los coches conectados abre el debate de la ciberseguridad en la carretera. Electrodomésticos clásicos, como neveras, lavadoras o termostatos, así como relojes, lavadoras, la máquina de café de la oficina… todo se conectará a Internet.
Texto: MICHAEL MCLOUGHLIN
IoT. Internet of Things. Internet de las Cosas le llaman en español. Se trata de un mundo, más cercano que lejano, en lo que todo lo que nos rodea en casa, en el trabajo o en la calle hablará entre sí. El acceso a Internet no será un privilegio de smartphones, tabletas, ordenadores o televisiones inteligentes. Electrodomésticos clásicos, como neveras, lavadoras o termostatos, así como relojes, lavadoras, la máquina de café de la oficina… todo se conectará a Internet. Nuestro coche mandará un mensaje a la puerta del garaje cuando doblemos la esquina y un aviso al horno para que vaya calentando la cena.
Y no solo eso. La industria del automóvil, una de las más potentes del planeta, mira con ambición al futuro. El coche conectado, en primer término, y el coche autónomo, como segundo destino, son las dos revoluciones llamadas a revolucionar el gremio.
Desde Volvo hasta Mercedes, pasando por Ford o las marcas de General Motors se han colocado en la parrilla de salida. A su lado empresas como Tesla –la responsable del primer deportivo eléctrico del mercado- compiten con tecnológicas como Apple, Google o la china Baidu por liderar esta competición. No hay que olvidar que iOS y Android, los dos principales sistemas operativos móviles del mundo, ya tienen una versión de ‘salpicadero’.
Se espera por tanto que en 2020 solo por las carreteras europeas circulen 150 millones de vehículos de pasajeros conectados. Autobuses, coches, furgonetas… una ingente cantidad de usuarios que generarán un gran volumen de información que, según Intel, hasta el 75% corresponderá a datos basados en la web.
Auge de ataques digitales
Por muy prometedor que sean todos los avances en esta materia, el coche conectado no puede ser ajeno al debate de la ciberseguridad. Solo en 2015, según Panda Labs, se creó y se distribuyó el 30% de todo el malware de la historia. Las amenazas crecen esporádicamente a un ritmo similar al de la venta de aparatos inteligentes. El pasado curso se descubrieron en España hasta 430 millones de archivos maliciosos y vulnerabilidades, según cifras de Symantec.
Y no piensen que los responsables de estos ataques son solitarios hackers que aprovechan cualquier rato libre para realizar una escaramuza en un servidor o crear un virus que reviente la memoria de un terminal. Los ciberdelicuentes se están profesionalizando en grupos internacionales y se organizan con las empresas tradicionales: trabajan cinco días por semanas, descansan dos y tienen horario de oficina. Según el estudio de Symantec, hasta cogen vacaciones.
En medio de este panorama, muchos dudan que en ese mundo hiperconectado haya algo que no sea susceptible de ser hackeado. En la pasada DEF CON –celebrada en noviembre-, un grupo de expertos en seguridad presentaron los sorprendentes resultados de su trabajo: habían logrado piratear una nevera conectada. Habían creado credenciales falsos para poder acceder a la aplicación de calendario, ver las citas y demás anotaciones. Otros 24 aparatos, según los investigadores, corrieron la misma suerte. Entre ellos, había lavadoras, cafeteras y demás.
¿Qué tiene de peligroso tomar el control de una nevera? La verdad que, a priori, parece que poco. Sin embargo, un electrodoméstico con fallos de seguridad puede permitir acceder a otros puntos conectados a una misma red como la televisión, el móvil o el ordenador donde se pueden guardar datos de valor.
En la industria del motor la alarma saltó el pasado mes de julio. El destino quiso que la noticia llegase días después de que la web Ashley Madison sufriese un robo de datos masivo. Mientras el mundo entero se escandalizaba conociendo que los nombres de miles de infieles habían quedado al descubierto en Internet, el hackeo de un coche conectado pasó desapercibido.
Un ‘jeep’ pirateado
El 21 de julio, dos investigadores estadounidenses consiguieron infiltrarse en los sistemas de un Jeep Cherokee. Remotamente, empezaron a manipular diferentes elementos del automóvil: con un ordenador conectaron el aire acondicionado, que se encendiera la radio, activar los limpiaparabrisas e incluso detener el motor.
A pesar de que mediáticamente no tuvo seguimiento, el caso removió las conciencias del Senado. En Washington trabajan en una norma para asegurar unos estándares mínimos de seguridad. A esta iniciativa le siguió la del Consejo Automotive Security Review Board. Esta autoridad ha reclutado a importantes talentos de la industria de la seguridad para trabajar en sistemas más robustos. El trabajo de esta organización no es otro que realizar pruebas periódicas para lograr un código de buenas prácticas en las plataformas de automoción conectadas.
Pero, ¿qué es lo que hace vulnerable a un coche u otro? Según un estudio de 2014, que analizó los vehículos que podían ‘hackearse’ más fácilmente, los más inseguros compartían ciertos elementos como, por ejemplo, la interconectividad de sus funcionalidades.
Frenar un coche a 120 km/hora
Desde el primer caso confirmado, investigaciones oficiales realizadas en Estados Unidos han demostrado que incluso es posible frenar un coche en seco que circula a más de 120 kilómetros o aprovechar la conexión inalámbrica para manipular parámetros del sistema. Otros, por ejemplo, pudieron utilizar estas señales para realizar un seguimiento continuo del automóvil y de su posición, vigilando todos y cada uno de sus movimientos.
El gremio ya ha movido pieza. Mientras los Gobiernos y las autoridades de transporte de medio mundo buscan encajar el puzzle y adaptarse a esta nueva realidad, los fabricantes han comenzado los trabajos para generar su propia regulación, de la misma manera que la banca creó unas normas para protegerse en 2012 de los ciberataques.
La Asociación Global de Fabricantes de Automóviles ya trabaja con la AAMM de EE UU, la Acea europea y la Jama japonesa en esta normativa. Estas instituciones llevan meses intercambiando información sobre ciberataques para crear un reglamento a la hora de crear estándares y un código de buenas prácticas ante estas amenazas.