Vulnerabilidad y privacidad, puntos ciegos del coche conectado

Desde la aparición de los coches conectados se ha hablado de los riesgos de que los ciberatacantes pudieran tomar el contro de los vehículos. Con su popularización, se abre el debate de si estos vehículos representan un peligro real para la privacidad y la seguridad de los ciudadanos. Nate Drier, Technical Lead del Red Team de Sophos, asegura que «prácticamente todas las tecnologías en un coche moderno, eléctrico o no, están expuestas a los mismos riesgos que cualquier otro dispositivo conectado». Desde los sensores que monitorizan la presión de las llantas hasta los complejos sistemas LIDAR o las conexiones Wi-Fi, cualquier elemento digital puede ser vulnerable. «Los atacantes siempre están buscando maneras de aprovecharse de las funciones y vulnerabilidades del software, mientras que los expertos en ciberseguridad trabajan constantemente para protegerlo. Es una especie de juego del gato y el ratón que lleva años ocurriendo, sólo que ahora se juega sobre ruedas», apunta el especialista.

La digitalización de los automóviles ha convertido a los vehículos en auténticos centros de datos móviles. Incluso si el usuario decide no vincular su teléfono móvil al coche, estos recopilan una gran cantidad de información por sí mismos: ubicación actual e histórica, grabaciones de las cámaras del coche, escaneos LIDAR e incluso audio del entorno. Este tipo de datos representa un valor económico importante para los fabricantes, y es probable que ya se haya convertido en una fuente de ingresos adicional para muchas marcas», advierte Drier.

Los datos y su uso

El atractivo de estos datos no se limita a los intereses comerciales de las empresas. «Esa misma información también los convierte en un blanco atractivo para terceros: desde gobiernos que presionan a las empresas de su país para obtener acceso a los datos, hasta amenazas globales que intentan robarlos mediante ciberataques», señala el experto. La cuestión de la seguridad no se reduce a la integridad física, sino que abarca la protección de la privacidad y la información personal.

El riesgo, sin embargo, no es homogéneo para todos los ciudadanos. «Desde una perspectiva estadística, todos estamos expuestos al uso indebido de nuestra información», reconoce Drier. Pero el peligro es considerablemente mayor para personas que manejan información sensible, como personal de defensa, funcionarios públicos, periodistas o investigadores. «Ya se han documentado casos en los que gobiernos u otros actores han explotado vulnerabilidades en tecnologías comunes para espiar a este tipo de personas, precisamente porque su información resulta especialmente valiosa», subraya.

La polémica sobre los coches chinos se ha alimentado de la percepción de que estos vehículos son más vulnerables a ciberataques o a la vigilancia estatal. Drier desmonta esta idea asegurando que la vulnerabilidad no depende de dónde se fabrica sino en quién tiene acceso a los datos y bajo qué condiciones legales. «Y eso no depende tanto de la tecnología en sí, sino del marco legal y regulatorio del país de origen del fabricante. Si un país no cuenta con leyes sólidas de protección de datos, o si permite que sus empresas compartan información con el gobierno, entonces el riesgo para la privacidad del usuario aumenta, independientemente de la calidad técnica del coche», afirma.

En este sentido, el caso de China resulta especialmente sensible. «Hay motivos para estar atentos al caso de China, ya que su gobierno tiene la capacidad legal y política de influir en los fabricantes nacionales para que recopilen datos de los usuarios. Este tipo de preocupación no es nueva; ya la vimos en casos como el de Huawei. El contexto regulatorio en China hace que esa posibilidad sea más tangible», reconoce Drier. Sin embargo, «centrarse exclusivamente en China sería simplificar demasiado el problema. Otros países como Estados Unidos o el Reino Unido también tienen antecedentes documentados de vigilancia masiva y programas encubiertos de espionaje digital».

Cadena de suministro

La globalización añade una capa adicional de complejidad. Europa depende en gran medida de semiconductores y otros componentes electrónicos fabricados en Asia, muchos de ellos en China. «Si un país o gobierno decide actuar como adversario, existen muchas maneras en las que podría hacerlo. No se trata sólo de fabricar coches y recopilar datos directamente, sino también de intervenir en otras etapas de la cadena de suministro, por ejemplo, manipulando componentes como los semiconductores, que a menudo provienen de diferentes países, incluida China», explica Drier. «En un mundo tan globalizado, donde la tecnología está profundamente integrada en cada aspecto de nuestra vida diaria, es prácticamente imposible garantizar con certeza que ningún componente pueda ser usado en tu contra».