La Organización de Consumidores y Usuarios (OCU), en colaboración con expertos en ciberseguridad de la empresa Context Information Security, ha examinado a fondo los sistemas informáticos de dos de los coches más populares en Europa: el Polo SEL TSI con Carnet y el Ford Focus Titanium Automático, ambos con motor 1.0 de gasolina. Los resultados revelan la vulnerabilidad informática de estos dos vehículos, que podría ser común a otros vehículos inteligentes: aquellos con sistemas de navegación integrados, de entretenimiento a bordo, con conexión a internet, etc.
Tres fallos de ciberseguridad
OCU detectó más fallos, pero estos tres amenazan directamente la seguridad del conductor y los pasajeros.
- OCU hackeó el sistema de comunicaciones internas del VW Polo, reprogramándolas para que la pantalla del coche se apagara cada cinco minutos. Ojo, esta unidad de Info entretenimiento también tiene la capacidad de, por ejemplo, activar y desactivar el control de tracción del vehículo. En el Ford no se pudo hackear la consola de entretenimiento en el tiempo que duró el análisis. Pero, consideramos un riesgo que desde ella se tenga acceso al subsistema asociado a funciones críticas para la seguridad como el control de la dirección o de los frenos, por ejemplo.
- OCU hackeó la llave del coche en 60 segundos. El VW Polo es vulnerable al conocido ataque “RollJam”: una persona próxima al vehículo podría capturar la clave en su dispositivo mientras usted pulsa para abrir el coche. El llavero del Ford Focus es más seguro; aun así, con un equipamiento básico, que cualquier hacker podría adquirir por internet, es posible impedir que el propietario arranque su vehículo.
- OCU pudo manipular la información de los sensores. En el VW Polo bastó con retirar la insignia de la marca situada en la parte frontal del vehículo para acceder al CAN Bus, que comunica con el radar frontal y se encarga de avisar de posibles colisiones. En el Ford Focus se interceptó la información de los sensores que monitorizan la presión de los neumáticos; si se manipularan podrían trasladar al conductor que la presión es la adecuada cuando no lo es.
OCU pide a la UE una legislación adaptada a las nuevas tecnologías
OCU ha solicitado a los fabricantes su colaboración para solucionar los problemas encontrados. No obstante, la seguridad y la privacidad de los usuarios no deberían depender de la mera voluntad de colaboración de la industria. Por eso, OCU pide que se desarrollen leyes y estándares específicos vinculados a los productos inteligentes que obliguen a los fabricantes a:
- Diseñar y producir productos que sean también seguros desde el punto de vista de la electrónica y la ciberseguridad.
- Informar cuando se descubran vulnerabilidades tecnológicas y desarrollar parches de seguridad y soluciones en un breve plazo de tiempo para solventarlas. Estas soluciones deben ser gratuitas para los usuarios. Estas leyes deben establecer claramente la responsabilidad legal de los fabricantes en materia de privacidad y de seguridad (de las personas, de la electrónica y del software); más aún cuando las nuevas tecnologías y los vehículos autónomos pretenden eliminar el factor humano de la ecuación.
OCU recuerda a los fabricantes que los datos personales recogidos a través del coche son propiedad del usuario
La cantidad de datos personales que están recogiendo los fabricantes de automóviles conectados es enorme y muy valiosa. Pero es preciso aclarar que son datos que pertenecen exclusivamente a los usuarios. Un derecho con tres implicaciones: el usuario puede llevar sus datos con él (portabilidad de datos), decidir quién accede a ellos y obtener una parte justa del valor que generen las empresas que los utilicen, tal y como defiende OCU en la campaña
Además, OCU advierte a los usuarios de este tipo de coches que, en el caso de que vayan a venderlo, busquen en el menú de la pantalla la opción para “restablecer los valores de fábrica”. De lo contrario, datos personales como los lugares visitados o los contactos utilizados para sus llamadas a través del manos libres, quedarán accesibles al comprador.