Almenys 15 milions dels 29 milions de vehicles que circulen a Espanya són vulnerables a ciberatacs, una xifra que situa en el 51,7% la proporció de cotxes susceptibles de patir aquest tipus d'intrusions. L'avís figura en un estudi de Lazarus Technology elaborat amb dades de la Direcció General de Trànsit i de la patronal ANFAC, en un context en què els delictes vinculats a aquest fenomen van créixer un 40% l'últim any.
L'amenaça afecta un parc mòbil cada vegada més connectat. Els riscos van des de la sostracció de dades personals fins a l'accés a ubicacions visitades pel conductor o a missatges enviats des de dispositius vinculats al vehicle. També es contempla el bloqueig del cotxe per exigir un rescat econòmic.
Més connectivitat i més exposició
L'augment de funcions digitals en els vehicles està darrere d'aquesta exposició creixent. Juan Manuel Martínez Alcalá, CTO de Lazarus Technology, adverteix que els atacs a vehicles connectats poden augmentar a curt i mitjà termini a mesura que s'intensifiqui la seva dependència del programari i de la connectivitat amb serveis al núvol.
"S'espera que a curt i mitjà termini els atacs a vehicles connectats augmentin a mesura que la seva dependència del programari i de la connectivitat amb serveis al núvol s'intensifiqui" - Juan Manuel Martínez Alcalá, CTO de Lazarus Technology
La previsió de consultores del sector apunta en la mateixa direcció. Per al 2030, el 95% dels cotxes nous en circulació incorporarà elements de connectivitat que poden ser hackejats. La transformació tecnològica de l'automòbil, definida ja fa anys per especialistes com la conversió del cotxe en un autèntic ordinador amb rodes, amplia també la superfície d'atac.
Preocupació entre els conductors
La por a aquests delictes ja està instal·lada entre els automobilistes. Una enquesta del RACE realitzada al febrer a partir de gairebé un miler d'entrevistes en línia a conductors espanyols indica que el 84,47% reconeix estar preocupat per la possibilitat de patir un ciberdelicte relacionat amb el seu cotxe.
La inquietud creix quan es pregunta per les conseqüències concretes. El 75,26% tem que un hacker bloquegi el vehicle per exigir diners i el 87,06% expressa preocupació pel cost econòmic de reparar el programari afectat. Malgrat això, la incidència declarada continua sent reduïda.
"Només el 3,4% dels enquestats va declarar haver estat víctima d'un ciberdelicte relacionat amb el seu cotxe o conèixer algú que ho ha estat" - Portaveus del RACE
Com es produeixen els accessos
Els especialistes recorden que un cotxe actual no depèn d'un únic sistema electrònic. Miguel Tarascó Acuña i Antonio Vázquez Blanco, investigadors de Tarlogic, expliquen que aquests vehicles no solen tenir una sola centraleta, sinó diverses, amb funcions separades per a wifi i bluetooth, per als ports USB i per a altres elements del vehicle, com els fars direccionals.
Aquesta arquitectura multiplica els punts d'entrada. Fa un any, Tarlogic va alertar que un xip d'origen xinès anomenat ESP32, present en múltiples dispositius electrònics, contenia una funcionalitat oculta en el sistema bluetooth amb ordres no documentades que podria utilitzar-se per a atacs.
Els investigadors subratllen que el sistema d'infoentreteniment sol sincronitzar-se amb el telèfon mòbil del conductor. Això pot obrir la porta a l'accés a contactes, ubicacions, domicili o missatges si un delinqüent aconsegueix explotar una vulnerabilitat. En casos en què la víctima sigui una persona d'interès, l'objectiu pot ser el robatori d'informació per a un posterior xantatge.
"El 'infotainer' sol sincronitzar-se amb el telèfon mòbil del conductor, per la qual cosa el delinqüent pot accedir a informació sensible de l'usuari" - Miguel Tarascó Acuña, investigador de Tarlogic
Antecedents i límits de l'amenaça
Els precedents existeixen. En els Toyota Rav 4 fabricats entre novembre de 2018 i setembre de 2022, delinqüents aconseguien accedir a una centraleta retirant un dels fars. Amb això podien encendre el cotxe, desactivar el GPS i traslladar-lo després a Gàmbia. El fabricant va corregir més tard aquest problema.
També el 2015, uns hackers van aconseguir aturar a distància, i contra la voluntat del conductor, un Jeep Cherokee que circulava per una autopista dels Estats Units. Aquest model es comercialitza a Espanya, cosa que va convertir aquell cas en una referència dins del sector de la ciberseguretat aplicada a l'automòbil.
Els experts matisen, no obstant això, que provocar un sinistre manipulant un vehicle és molt més difícil que robar dades o bloquejar funcions. Sostenen que l'actor maliciós sol buscar un benefici directe i que forçar un accident no encaixa en aquesta lògica, a més d'augmentar el risc de ser rastrejat.
Actualitzacions i resposta dels fabricants
La capacitat de resposta depèn del tipus de fallada. Quan la vulnerabilitat és al programari, la solució pot arribar mitjançant una actualització. Si el problema és de maquinari, el procés es complica i ja depèn que el fabricant el detecti, avisi els propietaris i substitueixi el component afectat.
L'expansió del cotxe connectat ha convertit la ciberseguretat en un factor central de l'automòbil. Amb més funcions digitals, més intercanvi de dades i una connectivitat cada vegada més estesa, la protecció d'aquests sistemes deixa de ser una qüestió tècnica reservada a especialistes i passa a afectar de ple milions de conductors.