Al menos 15 millones de los 29 millones de vehículos que circulan en España son vulnerables a ciberataques, una cifra que sitúa en el 51,7% la proporción de coches susceptibles de sufrir este tipo de intrusiones. El aviso figura en un estudio de Lazarus Technology elaborado con datos de la Dirección General de Tráfico y de la patronal ANFAC, en un contexto en el que los delitos vinculados a este fenómeno crecieron un 40% el último año.
La amenaza afecta a un parque móvil cada vez más conectado. Los riesgos van desde la sustracción de datos personales hasta el acceso a ubicaciones visitadas por el conductor o a mensajes enviados desde dispositivos vinculados al vehículo. También se contempla el bloqueo del coche para exigir un rescate económico.
Más conectividad y más exposición
El aumento de funciones digitales en los vehículos está detrás de esta exposición creciente. Juan Manuel Martínez Alcalá, CTO de Lazarus Technology, advierte de que los ataques a vehículos conectados pueden aumentar a corto y medio plazo a medida que se intensifique su dependencia del software y de la conectividad con servicios en la nube.
"Se espera que a corto y medio plazo los ataques a vehículos conectados aumenten a medida que su dependencia del software y de la conectividad con servicios en la nube se intensifique" - Juan Manuel Martínez Alcalá, CTO de Lazarus Technology
La previsión de consultoras del sector apunta en la misma dirección. Para 2030, el 95% de los coches nuevos en circulación incorporará elementos de conectividad que pueden ser hackeados. La transformación tecnológica del automóvil, definida ya hace años por especialistas como la conversión del coche en un auténtico ordenador con ruedas, amplía también la superficie de ataque.
Preocupación entre los conductores
El temor a estos delitos ya está instalado entre los automovilistas. Una encuesta del RACE realizada en febrero a partir de casi un millar de entrevistas online a conductores españoles indica que el 84,47% reconoce estar preocupado por la posibilidad de sufrir un ciberdelito relacionado con su coche.
La inquietud crece cuando se pregunta por las consecuencias concretas. El 75,26% teme que un hacker bloquee el vehículo para exigir dinero y el 87,06% expresa preocupación por el coste económico de reparar el software afectado. Pese a ello, la incidencia declarada sigue siendo reducida.
"Solamente el 3,4% de los encuestados declaró haber sido víctima de un ciberdelito relacionado con su coche o conocer a alguien que lo ha sido" - Portavoces del RACE
Cómo se producen los accesos
Los especialistas recuerdan que un coche actual no depende de un único sistema electrónico. Miguel Tarascó Acuña y Antonio Vázquez Blanco, investigadores de Tarlogic, explican que estos vehículos no suelen tener una sola centralita, sino varias, con funciones separadas para wifi y bluetooth, para los puertos USB y para otros elementos del vehículo, como los faros direccionales.
Esa arquitectura multiplica los puntos de entrada. Hace un año, Tarlogic alertó de que un chip de origen chino llamado ESP32, presente en múltiples dispositivos electrónicos, contenía una funcionalidad oculta en el sistema bluetooth con comandos no documentados que podría utilizarse para ataques.
Los investigadores subrayan que el sistema de infoentretenimiento suele sincronizarse con el teléfono móvil del conductor. Eso puede abrir la puerta al acceso a contactos, ubicaciones, domicilio o mensajes si un delincuente logra explotar una vulnerabilidad. En casos donde la víctima sea una persona de interés, el objetivo puede ser el robo de información para un posterior chantaje.
"El 'infotainer' suele sincronizarse con el teléfono móvil del conductor, por lo que el delincuente puede acceder a información sensible del usuario" - Miguel Tarascó Acuña, investigador de Tarlogic
Antecedentes y límites de la amenaza
Los precedentes existen. En los Toyota Rav 4 fabricados entre noviembre de 2018 y septiembre de 2022, delincuentes lograban acceder a una centralita retirando uno de los faros. Con ello podían encender el coche, desactivar el GPS y trasladarlo después a Gambia. El fabricante corrigió más tarde ese problema.
También en 2015, unos hackers consiguieron detener a distancia, y contra la voluntad del conductor, un Jeep Cherokee que circulaba por una autopista de Estados Unidos. Ese modelo se comercializa en España, lo que convirtió aquel caso en una referencia dentro del sector de la ciberseguridad aplicada al automóvil.
Los expertos matizan, no obstante, que provocar un siniestro manipulando un vehículo es mucho más difícil que robar datos o bloquear funciones. Sostienen que el actor malicioso suele buscar un beneficio directo y que forzar un accidente no encaja en esa lógica, además de aumentar el riesgo de ser rastreado.
Actualizaciones y respuesta de los fabricantes
La capacidad de respuesta depende del tipo de fallo. Cuando la vulnerabilidad está en el software, la solución puede llegar mediante una actualización. Si el problema es de hardware, el proceso se complica y ya depende de que el fabricante lo detecte, avise a los propietarios y sustituya el componente afectado.
La expansión del coche conectado ha convertido la ciberseguridad en un factor central del automóvil. Con más funciones digitales, más intercambio de datos y una conectividad cada vez más extendida, la protección de estos sistemas deja de ser una cuestión técnica reservada a especialistas y pasa a afectar de lleno a millones de conductores.