España.- En la primera mitad del año, se han denunciado 14.852 robos de vehículos, un incremento del 23,7% en comparación con el mismo periodo de 2021. Sin embargo, atrás quedaron los días en los que se rompía una ventanilla para hacer un puente y arrancar el vehículo, ya que ahora la herramienta criminal favorita es la informática.

“

Ahora, solo se producen roturas de cristales cuando se quiere extraer algo de valor del interior”, afirman fuentes policiales a ABC.

Tiene sentido que los ladrones no quieran un coche dañado, pues llama más la atención y hace que el valor de reventa se disminuya. Además, la ausencia de fuerza presenta un nuevo problema para el propietario: la dificultad de demostrar el robo a su aseguradora.

Estas mismas fuentes declaran que hoy, el método más extendido para sustraer vehículos consiste en abrir la puerta, ya sea forzando el bombín o, si se es más sofisticado, a través de una manipulación de las radiofrecuencias de la llave, y accediendo a la centralita a través del puerto OBD 2 para poder arrancar el motor y poder conducirlo. Ladrones profesionales son capaces de llevar a cabo la operación en menos de tres minutos.

“

Los últimos años ha sido muy frecuente encontrar casos en el Grupo Volkswagen, pero es cada vez más común ver denuncias de BMW o de marcas francesas”, asevera la Policía.

De hecho, el pasado 10 de octubre, Europol arrestó a 31 miembros de una banda organizada entre Francia, España y Letonia para el robo de vehículos. Incautaron 1,1 millones de euros en activos criminales.

Existen muchos casos similares, en Estados Unidos, los «Kia Boyz» se especializaban en los coches de la anterior generación del grupo surcoreano, que además colgaban vídeos explícitos del método a seguir para poner en marcha el coche. Otros, en Francia, usaban un altavoz JBL modificado –con un valor en el mercado negro de 5.000 dólares– para conseguir el acceso a la centralita del vehículo a través del puerto USB. Sin embargo, a pesar de que parezca que hoy los vehículos son más vulnerables que nunca, la realidad es que en el primer semestre de 2022 se han denunciado la mitad de robos que hace una década, pues en el mismo periodo de 2012 se registraron 27.045 sustracciones.

Los fabricantes procuran reparar sus vulnerabilidades con presteza –los «Kia Boyz» ya no son capaces de vulnerar los nuevos modelos– e incluso han llegado a pagar a los ‘hackers’ por desvelar brechas de seguridad. Un ejemplo es Tesla, que desembolsó 50.000 dólares después de que un ‘hacker‘ demostrase que tenía acceso a toda su flota a través de la información que intercambiaba su red de supercargadores.

La ley va un paso por detrás en lo que se trata de vigilar las formas novedosas de crimen. En 2021, Naciones Unidas presentó el Reglamento 155 para una norma de homologación de vehículos con respecto a su ciberseguridad, que define casi 70 puntos de vulnerabilidad para los vehículos actuales y futuros que han de ser protegidos. La Unión Europea ya ha anunciado que se implementará la norma UNECE/R155 a partir del 1 de julio de 2024, so pena de 30.000 euros por unidad fabricada que no cumpla los requisitos.

Así como la digitalización ha traído nuevas vías de ingreso para los ciberdelincuentes, también ha hecho que surjan empresas especializadas en la prevención de este tipo de delitos y en la certificación de seguridad. En España, por ejemplo, Eurocybcar es la única capacitada de emitir esta evaluación técnica de ciberseguridad.

5G, ¿más problemas?

Conseguir una banda ancha con menor latencia ofrece un mundo de posibilidades industriales y de conectividad para la automoción. En una entrevista reciente con ABC, el CEO de Bosch, Stefan Hartung, afirmaba que esto permitiría reducir el número de centralitas en los vehículos y pasar sistemas de computación a la nube. Por un lado, aumentaría la seguridad local, al haber menos nodos vulnerables a los que acceder, pero por otro podría comprometer la integridad de un sistema de gestión de flotas al autentificarse como un elemento inocuo dentro de la nube.

Para desarrollar defensas, es imprescindible adoptar una «mentalidad hacker» y pensar en las vías de lucro que puedan tener este tipo de delincuentes. Desde la empresa de ciberseguridad Trend Micro, señalan varios vectores: el ‘ransomware’ –bloquear las funciones de un vehículo hasta que el dueño pague un rescate–, el robo de información privada o incluso el abuso de sistemas, que incluiría el tomar el control de la gestión de flotas para no levantar sospechas en el centro de supervisión, desactivando la localización GPS, por ejemplo. La llegada de camiones autónomos abriría la puerta a una forma sencilla de reparto de materiales ilegales o la posibilidad de hacer que aparquen en un lugar para ser desmantelados.

Sin embargo, desde Trend Micro afirman que los resultados de su búsqueda para vulnerar coches conectados han sido limitados, «una buena señal de que los criminales aún no han enfocado sus esfuerzos en explorar la monetización», afirman en su informe.

En los foros de la ‘Deep Web‘ se venden cuentas pirateadas de aplicaciones de car sharing y de taxi, así como ‘hilos’ de cómo vulnerar el puerto OBD, modificar la centralita, información sobre el protocolo CAN desarrollado por Bosch o la venta de inhibidores de frecuencia para llaves –evitan que se cierre el coche con el mando a distancia– o las herremientas más usadas hoy: los clonadores de llave. Aún así, desde la tecnológica aseguran que los métodos más simples, como el duplicado de llaves, es potencialmente mucho más dañino que otros más sofisticados, como la instalación de ‘malware’ de forma remota.

Los ‘hackers‘ tomaron el control remoto de un Jeep Cherokee en 2015

Si bien el robo de coches se ha vuelto mucho más sofisticado –los destinos más frecuentes eran Rusia y Ucrania antes de la guerra, así como China, Europa del Este, Marruecos y Mauritania– los casos más llamativos que han aparecido publicados en la prensa se han llevado a cabo por ‘hackers‘ éticos, en un intento de demostrar las vulnerabilidades de un sistema.

El primer ejemplo que puso de manifiesto la falta de seguridad informática en los vehículos fue el caso del ‘hackeo’ de un Jeep Cherokee en 2015 que resultó en la llamada a revisión de 1,4 millones de vehículos de Chrysler. En este caso, Charlie Miller y Chris Velasek descubrieron que podían acceder a la centralita por varias vías, pero prefirieron la red 3G porque permite a un atacante estar fuera del rango visual y seguir mandando mensajes al vehículo a tavés del protocolo CAN. Entre lo que descubrieron fue que podían apagar el motor, desactivar los frenos o girar el volante del Jeep.

Según la asociación de protección al consumidor de Estados Unidos, Consumer Watchdog, los vehículos Tesla son los más vulnerables a ataques cibernéticos, seguidos por modelos como el Ford F-150, Dodge Ram 1500 o Chevrolet Silverado, las tres pick-up líderes del mercado.

Más recientemente, en 2018 se atacó un BMW por parte de los analistas de Keen Security Lab crearon tres ataques diferentes, uno local a través del puerto OBD y otros dos en remoto más sofisticados. El más exitoso consistió en establecer una vulneración de intermediario (MitM) para recibir todos los datos de GPRS generados por el vehículo que iban dirigidos hacia el servidor del fabricante a través de su servicio Conected Drive y a través de esta, poder mandar mensajes arbitrarios usando el protocolo CAN y controlar así la centralita.