La Casa Blanca anunció esta semana un plan para prohibir la venta o importación de vehículos conectados que contengan “piezas específicas de hardware y software” que podrían fabricarse en China o Rusia, citando preocupaciones de seguridad nacional. Aunque la amenaza de ciberataques a estos vehículos es real, el momento del anuncio resulta inusual.
Las autoridades estadounidenses temen que los vehículos que incluyan estos componentes, como camiones y autobuses, puedan convertirse en caballos de Troya para sabotajes orquestados por China. Este es el segundo anuncio del gobierno de EE. UU. dirigido a vehículos eléctricos en seis meses.
En mayo, Washington impuso un impuesto del 100% a los vehículos eléctricos procedentes de China, argumentando que la medida protegería los empleos en la industria automotriz estadounidense, que enfrenta la competencia de empresas chinas apoyadas por subsidios estatales. Aunque la nueva prohibición también afectará a Moscú, el principal objetivo sigue siendo la industria automotriz china.
Tanto China como Estados Unidos albergan algunas de las mayores empresas de vehículos eléctricos del mundo, y solo una pequeña parte del hardware y software relacionado con la conectividad externa y la conducción autónoma se fabrica en Rusia. Si el Congreso aprueba las nuevas restricciones, estas entrarían en vigor en 2027 para el software y en 2030 para el hardware.
Según un comunicado del Departamento de Comercio, “el acceso malicioso a estos sistemas podría permitir a los adversarios acceder y recopilar nuestros datos más sensibles y manipular remotamente los automóviles en las carreteras estadounidenses”. Jake Sullivan, asesor de seguridad nacional, destacó durante una conferencia de prensa que los vehículos conectados presentan nuevas vulnerabilidades, especialmente aquellos desarrollados en la República Popular China y otros países de preocupación.
Sullivan mencionó al grupo de hackers chino Volt Typhoon, que ha sido vinculado a ataques a sistemas críticos en EE. UU., advirtiendo que podrían insertar códigos inactivos en redes vitales para activar sabotajes en caso de tensiones crecientes entre EE. UU. y China.
Aunque el riesgo de ciberataques a vehículos conectados se conoce desde hace aproximadamente diez años, hasta ahora los casos documentados no han sido necesariamente relacionados con espionaje internacional. “Hasta el momento, hemos visto ejemplos de piratería para eludir los sistemas de seguridad de los vehículos y robarlos”, afirmó Jean-Christophe Vitu, vicepresidente de soluciones de ingeniería en CyberArk.
Sin embargo, las amenazas son reales. “Ha habido demostraciones de vehículos conectados controlados de forma remota”, indicó Sébastien Viou, director de ciberseguridad de la empresa francesa Stormshield. Los vehículos conectados presentan múltiples puntos de entrada para hackers, especialmente a través del software mencionado en la última prohibición.
Cada vehículo conectado cuenta, por ejemplo, con un módem o una tarjeta SIM no fabricada por la empresa constructora, lo que permite la conexión a redes y la transmisión de datos. Esta vulnerabilidad podría facilitar que un hacker intercepte la información transmitida.
Además, los ciberespías pueden dirigirse al multiplexor del vehículo, una especie de centro de control que gestiona las interfaces electrónicas y conectadas, como el GPS y la radio. La cantidad de datos personales que recopilan estos vehículos y sus fabricantes es considerable. Acceder a esta información podría revelar, por ejemplo, la ruta exacta que tomó una persona de alto perfil durante una llamada mientras conducía.
Los vehículos conectados comprometidos también pueden ser manipulados físicamente. Aunque no se ha confirmado si esto ha ocurrido en situaciones fuera de conferencias de ciberseguridad, un coche conectado podría ser saboteado para que se detenga o para forzar el apagado remoto del sistema de conducción asistida.
Actualmente, hay muy pocos vehículos conectados con piezas fabricadas en China en América del Norte, y hackear un vehículo de este tipo requiere habilidades avanzadas de cibercriminales. “Si se está apuntando a un vehículo específico, puede ser necesario realizar una recopilación de inteligencia preliminar para determinar qué marca fabricó las diferentes piezas de software que se desean activar o desactivar de forma remota”, concluyó Matthieu Dierick, experto en ciberseguridad en F5.