EUROCYBCAR te dirá si tu coche es "ciberseguro"
El organismo EUROCYBCAR se va a encargar de auditar la seguridad cibernética y la privacidad de los datos a bordo de los coches que están a la venta. Su dictamen servirá para asesorar al consumidor en esta materia, como EuroNCAP ha hecho en la seguridad.
5 min. lectura
Publicado: 12/11/2019 21:00
Los coches poco a poco se van conectando a Internet para realizar distintas funciones. Desde el acceso más básico, que descarga información del tiempo o del tráfico, hasta el más completo, que incluye actualizaciones remotas, existe un pequeño riesgo. Todo sistema conectado lo tiene.
Para ayudar a asesorar a la clientela de coches actuales, nace la iniciativa de EUROCYBCAR. Detrás de estas siglas está un organismo equivalente a EuroNCAP, que tanto ha ayudado a mejorar la seguridad pasiva -y después la activa- de los coches que compramos los europeos. Su página web es https://eurocybcar.com.
Próximamente, EUROCYBCAR empezará a dar resultados sobre el nivel de seguridad cibernética y de protección de la privacidad de los coches, evaluando con un sistema de puntuaciones muy fácil de interpretar: de 1 a 5. Será susceptible de análisis cualquier modelo que esté a la venta en el continente.
Los técnicos evaluarán tres aspectos: pruebas de acceso físico, pruebas de acceso remoto y las pruebas de APPs oficiales. ¿Qué significa todo esto en un lenguaje más cotidiano?
- Acceso físico: el intruso necesita estar físicamente en el mismo lugar que el coche, necesitando conectarse de alguna forma a los sistemas informáticos a bordo
- Acceso remoto: el intruso puede estar en otro lugar y comunicarse con los sistemas informáticos a través de redes inalámbricas de cualquier tipo (radiofrecuencia, Bluetooth, WiFi...)
- APPs oficiales: cada vez más modelos permiten interactuar con el coche mediante conexión a Internet, dichas APP pueden tener alguna vulnerabilidad
Hablar de estas cosas no es ciencia ficción, ya se han hecho pruebas empíricas que demuestran que existen algunos riesgos asociados a la conectividad, aunque esos riesgos sean muy remotos y la probabilidad de ser atacado sea muy baja (inferior a un robo del vehículo).
En un sistema informático diseñado perfectamente, cada actor que interviene en él está limitado de alguna forma para no poder hacer nada más y nada menos que lo que se supone. Por ejemplo, alguien con acceso a una impresora solo para imprimir no necesita tener más privilegios ni "poderes".
En la práctica, los diseñadores no lo han previsto todo, y existe una posibilidad, aunque muy remota, de poder acceder a sistemas vitales del coche a través de algo inofensivo como el sistema de infoentretenimiento. La prueba que se hizo hackeando en marcha un Jeep Cherokee en 2015 fue bastante reveladora.
Ya hay algunos modelos valorados por EUROCYBCAR, se conocerán más adelante
Eso sí, semejante sofisticación en un ataque requiere un conocimiento muy profundo del coche, no hay manuales de instrucciones que indiquen cómo hackear cada modelo, y hace falta mucho trabajo (ingeniería inversa). Además, algunos modelos son invulnerables a menos que el acceso sea físico (acceso al conector OBD, puerto USB, etc.)
Los auditores certificados, compuesto por hackers, probadores de coches y por expertos en temas legales con los que cuenta EUROCYBCAR contribuirán a mejorar la ciberseguridad de los coches modernos y el nivel de protección de los datos a bordo. Ya se encargarán los fabricantes de corregir sus errores de diseño, como ya pasó con la seguridad pasiva hace más de 20 años con EuroNCAP.
En el futuro los vehículos estarán muy conectados, incluso hay visiones de que tendremos a nuestra disposición información en la nube para poder llevar siempre nuestra música, conocer nuestros hábitos para optimizar desplazamientos, etc. Peugeot la materializó en el prototipo Instinct Concept. Sobre todo, se conectarán a Internet para descargar música e información, comunicarse con otros vehículos, etc.
No habrá lugar para los vehículos "tontos" o desconectados, para eso habrá que quedarse con los modelos anteriores al 2010, donde la gran mayoría solo es vulnerable, en caso extremo, a un ataque físico. Y si queremos reducir el riesgo de hackeo a 0, habrá que remontarse a coches de antes de los años 90, más que nada por no tener casi nada de electrónica.