15 milions de cotxes a Espanya, en risc d’un ciberatac

La veu d’alarma l’ha donada un estudi de l’empresa de ciberseguretat Lazarus Technology, amb dades de la Direcció General de Trànsit (DGT) i de l’Associació Espanyola de Fabricants d’Automòbils i Camions (ANFAC), que adverteix de la vulnerabilitat del parc automobilístic espanyol: dels 29 milions de vehicles que circulen per les nostres carreteres, n’hi ha almenys 15 milions que poden ser objecte d’atacs de ciberdelinqüents. Segons indica l’estudi, l’any passat els delictes relacionats amb aquest fenomen van créixer un 40%.

Més de la meitat dels vehicles espanyols (51,7%) són, per tant, susceptibles de patir un ciberatac mitjançant el qual els lladres poden sostreure dades personals, conèixer ubicacions visitades pel conductor, saber quins missatges ha enviat o fins i tot bloquejar el vehicle per demanar rescat. En els casos més extrems, s’han donat situacions en què els hackers han aconseguit aturar un cotxe contra la voluntat del conductor. No va passar a Espanya, sinó als Estats Units, però sí amb un model (el Jeep Cherokee) que es comercialitza al nostre país.

L’increment d’aquesta mena de situacions les ha convertides en una de les pors més recurrents entre els conductors. Segons una enquesta elaborada pel RACE al febrer, el 84,47% dels automobilistes espanyols reconeixen que estan preocupats per la possibilitat de ser víctimes d’un ciberdelicte relacionat amb el seu cotxe. El 75,26% declaren que tenen una mica de preocupació per trobar-se el cotxe bloquejat per un hacker i que els demani un rescat econòmic. I el 87,06% diuen que també estan preocupats pel cost econòmic d’haver de reparar el programari del vehicle.

L’estudi ha sigut elaborat a través de gairebé un miler d’entrevistes online a conductors espanyols. D’aquests conductors, "només el 3,4% van declarar haver sigut víctimes d’un ciberdelicte relacionat amb el cotxe o conèixer algú que ho ha sigut", tal com han explicat fonts del RACE a EL PERIÓDICO.

La progressiva automatització dels cotxes ha fet que els models més recents siguin "ordinadors amb rodes", com ja preveia el 2018 Jordi Serra, professor d’Estudis d’Informàtica, Multimèdia i Telecomunicació de la UOC, en un article especialitzat.

Ara ens trobem amb un escenari en creixement. El 2030, el 95% dels cotxes nous a la carretera tindran els elements de connectivitat propicis per ser piratejats, segons assenyalen les dades de la consultoria especialitzada McKinsey & Company. Ara bé, ¿quins són aquests elements que fan que els nostres vehicles siguin objectiu dels delinqüents?

Les centraletes

Aquest diari ha parlat sobre la qüestió amb l’empresa gallega Tarlogic, especialitzada en ciberseguretat. Els seus investigadors ja van advertir fa un any que un xip d’origen xinès present en multitud de dispositius electrònics (anomenat ESP32), que conté una funcionalitat oculta en el sistema bluetooth amb tota una sèrie de comandaments no documentats, es podria utilitzar per dur a terme atacs.

¿On són els punts febles? A les centraletes o vies d’entrada. Miguel Tarascó Acuña i Antonio Vázquez Blanco, investigadors de Tarlogic, expliquen que els cotxes "no solen tenir una sola centraleta, sinó que l’habitual és que en tinguin almenys tres: una per al wifi i el bluetooth, una per als ports USB i una per a funcions com els llums direccionals".

En aquesta última via, per exemple, els lladres de cotxes van trobar un filó en els Toyota del model Rav-4 fabricats entre el novembre del 2018 i el setembre del 2022. Tan sols retirant un dels llums, accedien a aquesta centraleta que els permetia encendre el cotxe. Després desactivaven el GPS i s’emportaven els vehicles a Gàmbia. El fabricant va resoldre el problema posteriorment.

Delinqüents experts podrien fins i tot modificar la trajectòria del cotxe o manipular-lo al seu aire. El fet que el 2015 uns hackers aconseguissin aturar, a distància i contra la voluntat del conductor, un Jeep Cherokee, que circulava per una autopista nord-americana, va demostrar aquest punt. Tarlogic diu que aquest extrem "és molt més difícil, i si no es fa és perquè l’actor maliciós el que vol és obtenir algun benefici. Manipulant un cotxe perquè s’estavelli no obtindrien aquest benefici i podrien ser rastrejats".

L’objectiu: dades de valor

Notícies relacionades

Nous problemes de congelació al vàter de la nau Orion

La teràpia hormonal en la menopausa s’obre pas als EUA

De fet, el robatori del vehicle no és el principal objectiu que tenen els lladres que ataquen els sistemes de connectivitat d’un cotxe. Per a ells, encara és més atractiu aconseguir obtenir dades personals i després revendre-les. "L’infotainer s’acostuma a sincronitzar-se amb el telèfon mòbil del conductor, de manera que el delinqüent pot accedir a informació delicada de l’usuari. Els seus contactes, les ubicacions on ha estat, el seu domicili o fins i tot els missatges que ha enviat. Si la víctima és una persona d’interès, el que persegueixen els delinqüents és robar-li les dades per fer-li xantatge més endavant", assenyala Tarascó.

La vulnerabilitat del vehicle pot estar en el programari (les aplicacions i els programes que fan que l’infotainer funcioni) o en el maquinari (les peces físiques). Segons apunten els portaveus de Tarlogic, "quan es tracta d’una fallada en el programari es pot solucionar amb una actualització; en canvi, si la decisió és de maquinari, és molt més difícil que es pugui reparar: dependria del fet que el fabricant l’identifiqui, el notifiqui als propietaris i el substitueixi".