La conexión de los coches a Internet es de gran utilidad para los usuarios, pero también abre la puerta a la incorporación de amenazas que hasta ahora eran habituales únicamente en los PC y smartphones. Esto supone que un ciberatacante con conocimientos técnicos de mecánica, control y calibración de los motores y electrónica general del automóvil podría interferir en los sistemas de un vehículo (frenos, motor, luces, etc.) poniendo en jaque la seguridad de sus ocupantes y del resto de coches que circulen por la calzada. Ésta es una de las principales conclusiones del I Informe “Automóviles vulnerables a ciberataques” que ha presentado hoy S2 Grupo.

La forma actual de configurar el sistema informático de los coches por parte de los fabricantes y la implantación en el mercado de los llamados “coches conectados” (permiten el acceso a Redes Sociales, a la información de los smartphones, disponen de sus propias apps, etc.) ha hecho que los vehículos se hayan convertido en el nuevo objetivo de los ciberdelincuentes. Por ejemplo, si los teléfonos inteligentes y ordenadores de abordo tienen el mismo canal para transferir los datos, los atacantes podrían encontrar vulnerabilidades en los sistemas operativos de los ordenadores de abordo y utilizarlo para tomar el control de los sistemas del coche o infectarlos con virus.

Esto podría tener consecuencias muy graves como perder el control del ordenador sobre el rendimiento del motor y las emisiones que supondría una visita directa al taller de reparación e, incluso, un accidente si afectara al sistema de frenado.

“Los ciberataques son ya una realidad en el mundo de la automoción, por eso, en un futuro próximo es probable que las aseguradoras tengan que introducir una nueva prestación en sus pólizas junto a la cobertura de rotura de lunas o robo, que sea la de cubrir posibles daños causados por ciberdelincuentes”, resalta Servilio Alonso, experto en ciberseguridad industrial en S2 Grupo y responsable del informe “Automóviles vulnerables a ciberataques”.

Vectores de ataque
Hay que tener en cuenta que con toda la nueva tecnología y funcionalidades disponibles, el usuario está expuesto a nuevas amenazas que anteriormente no existían. Estos son los principales vectores de ataque en un coche:
– Teleservicios: éstos son los más peligrosos de todos porque si un atacante consiguiese interceptar la comunicación (llamado ataque Man in the Middle) podría suplantar el código que se instala en el coche y provocar serios problemas en su funcionamiento. Además, otras vías de infección por virus sería la utilización de la tecnología Bluetooth o USB externos.

– Los portales para la administración de los vehículos en remoto: en caso de robo de las contraseñas del usuario, por ejemplo, el atacante podría introducir un virus troyano y acceder a los servicios que ofrecen estos portales, como ya ocurre en el sector bancario. Asimismo, es posible que los ciberdelincuentes generen spam con el objetivo de robar las contraseñas o de llevar a cabo fraudes más elaborados.

– Las aplicaciones para móviles : algunas firmas de automóviles disponen de sus propias aplicaciones con las que se permite la gestión de las In Car Smartphones Apps. Aquí el principial riesgo es que los cibercriminales creen apps que se hagan pasar por las oficiales o por autorizadas por los fabricantes de coches.

– Los servicios remotos: aquellos que convierten al smartphone en una especie de “llave de mando” que permite abrir y cerrar el coche, encender y apagar luces, hacer sonar el claxon o activar la climatización. Es fundamental escoger adecuadamente la contraseña o pregunta de seguridad porque, en caso contrario, cualquier persona que accediera al teléfono podría controlar el coche.