El trazado de la carretera es regular y la circulación fluida. Tienes conectado el control de crucero y avanzas relajado a la velocidad límite permitida para la vía. De repente, a trescientos metros de la próxima curva, el coche comienza a acelerar solo. Confundido, tardas dos segundos en reaccionar y pisar el freno para pasar al control manual, tiempo suficiente para que entres en el tramo curvo demasiado rápido, pierdas el control y tengas un accidente que puede resultar mortal.
Esta situación hipotética y extrema podría darse en el caso de que un ciberdelincuente accediese al hardware de un vehículo conectado y, al conocer la ubicación del coche mediante GPS, modificase la velocidad establecida por el control de crucero justo antes de una curva, dejándole sin tiempo para reaccionar, asegura Rafael García, CTO de la compañía de seguridad informática Hack By Security.
El desembarco de los dispositivos conectados al mundo del motor conlleva un nuevo reto en la seguridad de los coches: si hay conexión a internet hay riesgo de ciberataque. Esto, a día de hoy, está bien resuelto por los sistemas operativos que las principales marcas incluyen en sus coches, según explican los fabricantes consultados por Xataka. Pero el verdadero problema aparece conforme pasa el tiempo, ya que la vida útil de cada versión de un software principal suele ser de 12 o 13 años y la de los coches se puede prolongar, en circunstancias normales, más de 15.
“Una compañía de automóviles podría vender una docena de vehículos diferentes con sistemas operativos diferentes cada año. Incluso suponiendo que el software se actualice sólo cada dos años y que la compañía respalde los vehículos por sólo dos décadas, necesitaría mantener la capacidad de actualizar de 20 a 30 versiones diferentes de software”, explica el gurú en seguridad informática Bruce Schneier en su libro Click Here To Kill Everybody: Security and Survival in a Hyper-connected World.
“Económicamente no es sostenible mantener tanto tiempo esas actualizaciones”, señala García, quien apunta que otra posible solución, hacer que las diferentes versiones de los sistemas operativos se actualicen cada 4 o 5 años, puede ser viable para algunas partes del software, pero no para las más críticas.
Y cuando un sistema operativo deja de actualizarse, con el tiempo aparecen vulnerabilidades que lo dejan expuesto y allanan el camino a los ciberdelincuentes. Así ocurrió con el ataque del ransomware WannaCry que sacudió el mundo en 2017: aunque afectó a otros softwares principales, muchos de los ordenadores infectados aún usaban Windows XP, que llevaba tres años sin actualizarse y, por lo tanto, era más vulnerable que otros más recientes que habían sido correctamente parcheados.
Las marcas de coches se preparan
Los fabricantes de vehículos son conscientes de estos retos de ciberseguridad y, según han explicado a Xataka, se están preparando para afrontarlos. “Una de las diferencias más importantes entre los productos digitales y los coches es la vida útil de cada producto. Nuestro sistema operativo estará diseñado para formar parte de ciclos de largo plazo propios de los vehículos. Por ejemplo, tendrán un núcleo sólido y sostenible cuyas funcionalidades se actualizarán a lo largo de los años”, señalan desde el Grupo Volkswagen.
El fabricante alemán anunció en 2019 la creación de una nueva unidad de software con el objetivo de desarrollar un sistema operativo, el vw.os, y una nube, Volkswagen Automotive Cloud, propios. La meta última de esta iniciativa es unificar el software de sus vehículos y controlarlo de forma interna, ya que en la actualidad cuentan con hasta 200 proveedores externos de herramientas digitales diferentes.
“El software tendrá así un coste de desarrollo en una única ocasión y costes de mantenimiento menores, por lo tanto, será más eficiente a medida que se use más veces. Esa es nuestra estrategia, con la que tendremos más de 10 millones de coches conectados anualmente a partir de 2025”, continúan desde Volkswagen.
Y especifican que todos sus modelos conectados “tendrán sus actualizaciones cuando sea necesario mientras la línea del modelo continúe en el mercado”, aunque no aclaran qué pasará cuando dejen de venderla.
Hyundai, por su parte, ha informado a Xataka de que su compromiso es mantener las actualizaciones mientras el modelo esté en el mercado y proporcionar diez adicionales a partir del momento en el que cese la producción del vehículo.
“Nuestros equipos están cubiertos por el programa MapCare, que proporciona al menos una actualización anual del software y el mapa, y al menos diez actualizaciones adicionales desde que el equipo deja de estar en producción. Y está previsto que próximamente proporcionemos dos actualizaciones al año”, explica Juan Pedro García, Technical Manager del fabricante surcoreano en España.
Renault y Peugeot también han sido consultadas a este respecto, pero este medio no ha obtenido respuesta de ninguno de los fabricantes franceses.
No obstante, ninguna de las marcas ha señalado qué podría pasar con los coches que sobrevivan a la última actualización prevista. Tanto para asuntos como este como para otros generales de ciberseguridad en el vehículo, Rafael García opina que lo más probable es que acudamos próximamente al desarrollo de una normativa que unifique criterios básicos como el mantenimiento de las actualizaciones de los automóviles conectados por más de 15 años.
Previsible normativa sobre vehículos conectados
El CTO de Hack By Security señala que es previsible que la Unión Europea empiece a trabajar en una legislación comunitaria para establecer unos estándares mínimos de seguridad informática para todos los vehículos que se vendan en los Estados miembros.
“Supongo que sacarán normas básicas que tendrán que cumplir todas las marcas, y que serán aplicables en 5 o 10 años para que los fabricantes puedan planificarlo. Y si no se adaptan no podrán vender coches. Pero todo será paulatino, como con el diésel, porque el sector automovilístico va muy lento y hacer un cambio legislativo de golpe y porrazo puede hundirlo”, explica.
Los fabricantes consultados por Xataka también hablan a largo plazo. Son conscientes de los retos que plantea un parque automovilístico conectado, pero confían en que el ritmo pausado del sector les permita solventar las posibles vulnerabilidades de sus sistemas con garantías.
García también señala que, pese a que estos cambios vayan a ser progresivos, es posible que haya marcas que no puedan hacer frente a estas normativas y tendrán que abandonar los mercados en los que sus coches no cumplan la ley hasta que se puedan adaptar. O centrarse en desarrollar unos pocos modelos y reducir su gama de vehículos.
“Los coches se están convirtiendo, poco a poco, en ordenadores con ruedas. Tienen muchos gadgets y se van a poder conectar con otros vehículos para saber la posición y velocidad a la que van y hacer la circulación más segura. Y quien no se pueda adaptar a eso va a tener problemas, porque en el momento en el que metes un coche que no está conectado en un ecosistema conectado generas inseguridad, porque ese vehículo no es predecible para los demás”, señala.
¿Cómo se llevan a cabo las actualizaciones?
En la actualidad ya son muchos los coches del mercado que usan un sistema operativo para algunas funciones del vehículo, pero el número de automóviles conectados es todavía menor. Por ello, las actualizaciones del software se realizan en las revisiones periódicas de la máquina.
Sin embargo, muchas marcas ya están trabajando en sistemas over-the-air -por el aire-, por los que los vehículos recibirán las actualizaciones en remoto a través de una tarjeta SIM. “La parte positiva de esto es que los sistemas operativos de los coches se actualizarán automática e inmediatamente, pero también puede conducir a importantes problemas de seguridad si no se hace de forma correcta”, explica el CTO de Hack By Security.
¿Cómo podría afectar un ciberataque a un coche?
Si un ciberdelincuente consigue vulnerar la seguridad de un vehículo, podría alterar multitud aspectos como la mecánica o la velocidad del coche. Y, aunque para asuntos clave como la aceleración hay medidas de seguridad manuales por si falla el software, la reacción del conductor puede llegar demasiado tarde.
Las consecuencias de esos ciberataques podrían ser, según señala Rafael García, desde extraviarse porque el GPS dé mal las indicaciones hasta perder el control del vehículo porque ha acelerado o frenado cuando no debía, pasando por una gran cantidad de alteraciones de mayor o menor importancia. Aunque la mayoría, subraya, afectarían a la seguridad en la conducción.
“Con la irrupción del IoT -Internet de las cosas- el ciberdelincuente podría hasta regular algunos aspectos de los asientos del conductor y hacer que maneje el vehículo incómodo. Con eso a lo mejor no se provoca un accidente, pero al no tener una conducción confortable hay más inseguridad”, explica.
Disney+ rebajado de 69,99 euros a 59,99 euros durante un año: oferta limitada hasta el 23 de marzo
Ver 9 comentarios