Categoría: Artículos

Que el vehículo eléctrico triunfe depende de muchos factores. Entre ellos, que la red de recarga se incremente y siempre funcione de manera correcta. Para que esto último suceda, todos los actores implicados deberán tener en cuenta un factor básico: La ciberseguridad de dichos dispositivos.

Los vehículos, y todos los elementos que nos rodean en general, están cada vez más conectados y dependen de componentes electrónicos enlazados a la red. Esto, trae consigo multitud de ventajas y elementos positivos, pero también puede convertirse en una amenaza para nuestra privacidad y bienestar si no se protegen o utilizan de manera adecuada. Según avanzan y se expanden las tecnologías, irónicamente, hay mayor riesgo de que los crackers puedan encontrar vulnerabilidades y realizar ataques que nos afecten enormemente de forma directa.

Durante los últimos dos años, como nos cuentan los expertos del Área Técnica de EUROCYBCAR, se ha podido observar varios ejemplos de vulnerabilidades en estaciones de carga, como en Reino Unido, cuando las pantallas de estaciones públicas fueron utilizadas para mostrar páginas de carácter pornográfico. Asimismo, también en 2022, durante el comienzo de la guerra de Ucrania, las estaciones de la autopista dirección San Petersburgo desde Moscú, mostraron proclamas anti Putin en las pantallas de sus terminales.

Situación en España

El vehículo eléctrico poco a poco va ganando presencia en las carreteras españolas, aunque a un ritmo menor del que podemos encontrar, principalmente, en países del norte de Europa. Según la Asociación Nacional de Fabricantes de Automóviles y Camiones -ANFAC-, en 2023 los turismos electrificados en España representaron el 12% del mercado total, casi diez puntos por debajo de la media europea, que superó el 21%.

Una de las claves para conseguir una mayor expansión de los vehículos eléctricos es el desarrollo de una red de puntos de recarga extensa. En España, también según ANFAC y su Barómetro de la Electromovilidad, disponemos de 34.049 puntos de recarga públicos. Sin embargo, el mismo estudio destaca que 8.869 de esos puntos se encontraban inoperativos en 2023.

Pese a estos datos, según las previsiones de AEDIVE, se espera alcanzar los 240.000 puntos de cara al año 2030. De cumplirse las previsiones, supondría un aumento de más de 200.000 puntos en apenas seis años, consolidando la red en el ámbito nacional, lo cual podría incrementar, a su vez, el porcentaje de vehículos eléctricos en nuestras carreteras.

Nuevos riesgos

Está claro que cada vez vivimos en un mundo más interconectado, en el que en cualquier momento podemos recibir un ataque a través de un virus troyano o de ransomware, mediante diferentes vías. Sin embargo, desde el punto de vista del usuario, si un ataque así afecta a nuestros dispositivos -y no ha afectado a la información personal que contuviera- es tan sencillo como ir a cualquier tienda de electrónica y pedir que nos restauren el dispositivo o, en el peor de los casos, habría que comprar uno nuevo. Esto, con nuestros vehículos, no sucede y recibir un ciberataque puede tener consecuencias mucho más preocupantes.

Si el medio de transporte que una persona utiliza se viera afectado por un ciberataque, los costes y la dificultad de su reparación podrían ser muy elevados, además de trastocar gravemente nuestra rutina del día a día. No solo eso: Si el ciberataque tiene lugar mientras el vehículo está circulando, este podría tener un accidente si sufre un ataque mientras se conduce.

Con el aumento de la tecnología que incluyen los vehículos -más importante, incluso, en los que son de propulsión eléctrica-, la sociedad se enfrenta a riesgos sin precedentes en lo que a ciberataques se refiere. Es por ello que la red de recarga sería una de las grandes puertas de acceso al control de sistemas de los vehículos eléctricos o de la propia red.

La empresa tecnológica EUROCYBCAR detectó durante el año pasado cerca de un centenar de incidentes graves relacionados con la ciberseguridad de los vehículos. Cuando la firma británica de investigación en seguridad “Pen Test Partners” pasó 18 meses analizando siete modelos populares de cargadores de vehículos eléctricos, encontró que cinco tenían fallos críticos. Por ejemplo, identificaron un error de software que los crackers probablemente podrían explotar para obtener información sensible de los usuarios. Además, una estación de carga de “Project EV” permitió a los investigadores sobrescribir su firmware.

“Hemos creado ataques que podrían usarse para encender miles y miles de baterías de vehículos eléctricos a la vez y de este modo aumentar la potencia y tiempo de recarga, lo que podría causar picos de energía en la red y apagones”, comentan los propios investigadores.

¿Cómo se puede estar seguro?

Para realizar un diagnóstico general de la situación actual y como pueden estar más seguros los usuarios de los puntos de recarga tanto públicos como privados, hemos contactado con Agustín Valencia, Responsable de Desarrollo de Negocio Seguridad OT para España y Portugal en Fortinet. Agustín ha respondido a una serie de preguntas aportando su visión experta:

¿Cómo puede protegerse un usuario frente a un posible ciberataque
contra un punto de recarga público?

“Las infraestructuras de recarga del coche eléctrico es un sector que todavía no está entre las prioridades de los ciberatacantes, aunque es probable que lo esté en breve, debido a su creciente tamaño y exposición.

Hay varias tipologías de ataques que aprovechan las infraestructuras de recarga del VE. En ocasiones el fin es únicamente reivindicativo, así, por ejemplo, se ha tenido conocimiento de puntos de recarga atacados porque los cibercriminales los utilizaban de modo que sus mensajes aparecían en las pantallas de los cargadores.

En el caso de ataques más sofisticados y con objetivos económicos, como actualmente pasa con el ransomware, los equipos van a estar comprometidos aunque no sea visible a nuestro ojo de usuario, pudiendo los usuarios ser el fin del ataque o el medio para un ataque de mayor nivel de impacto. Pero si pensamos en los medios a los que nos conectamos y sus posibles amenazas, veremos que tenemos un móvil en el que descargamos aplicaciones, y en el universo de las aplicaciones de recarga puede haber también apps fake.

Pensemos de igual modo que nuestro vehículo moderno tiene una parte grande ya conectada, tanto a través de nuestro móvil como por sí mismo, intentar romper la seguridad de la plataforma para instalarnos aplicaciones fuera del control del fabricante -comúnmente denominado jailbreak- nos puede llevar a entradas de malware en el vehículo”.

¿Hasta qué punto son ya ciberseguras las estaciones de recarga o en qué
tienen que mejorar?

“Partimos de que no existe el riesgo cero y de que los requisitos de ciberseguridad han ido incrementándose conforme los despliegues de puntos de recarga han crecido, tanto en número como en la potencia de los mismos. Muchos ecosistemas de recarga actuales son redes de equipos propias de unas pocas empresas que dan acceso a contados operadores, pero conforme crece el mercado, el número de agentes que interviene también es mayor y las necesidades de interoperabilidad aumentan.

Pensemos que, por ejemplo, los cargadores de más de 50kW van a tener que incorporar un TPV para el pago, por lo tanto, lo normal es que estos puntos ya no estén solamente en redes privadas sino que se tendrán que abrir a redes de sistemas de pago. Por lo tanto, las necesidades de segmentación y control de acceso se tendrán que llevar a todos estos puntos”.

¿Los puntos de recarga privados también pueden ser vulnerables a
ataques? En este caso, ¿Qué medidas le recomendaríais al usuario para
que esté más ciberseguro cuando carga su vehículo?

“Los puntos de recarga domésticos se pueden considerar como cualquier IoT, equipos que se conectan al wi-fi de casa y, de ahí, a una nube de un proveedor. De la misma manera que se conocen ataques a videocámaras, altavoces, routers o impresoras, los cargadores domésticos técnicamente podrían ser objetivo de las botnets, no para impactar en su función de carga pero sí para ser parte de esas redes de bots con las que lanzar otros tipos de ataques como los de Denegación de Servicio -DoS- y minado de criptomonedas.

Las recomendaciones básicas para estos equipos serían las mismas que para cualquier IoT, es decir, desplegar una wifi solo para el IoT -los routers lo permiten, suele llamarse red de invitados-, aplicar los parches que se suelen avisar desde la aplicación del dispositivo, cambiar usuarios y claves por defecto del dispositivo“.

¿Qué papel juegan las instituciones gubernamentales y sus
reglamentaciones a la hora de regular la ciberseguridad de los puntos?

“Las instituciones juegan un papel fundamental en el ámbito de la ciberseguridad, y en este caso, todavía más. La red de puntos de recarga es, en su conjunto, una infraestructura muy compleja, conecta usuarios con vehículos con redes eléctricas, hay un enfoque de energía, de telecomunicaciones, de plataformas de apps, varios ministerios implicados con los que realizar un diagnóstico y plan de acción armonizado.

Tanto por la seguridad de la cadena de suministro como para la coordinación en caso de ciberincidente, las normativas de NIS2 y Cyber Resilience Act -CRA- pueden ser palancas muy útiles. La clave estará en ser proactivos en su aplicación, promover declaraciones de seguridad contra los que los fabricantes puedan equiparar sus requerimientos y demostrar su adecuado grado de conformidad. Esto no solo ayudaría a los propios fabricantes de los puntos de recarga, sino también a los fabricantes de automóviles a tener mejor predictibilidad de la evolución tecnológica y de igual modo pasará con muchas utilities implicadas en estos procesos”.

¿De qué forma pueden ayudar y colaborar para mejorar la ciberseguridad
ya existente?

Además de una cuestión regulatoria, se deberá plantear cómo conseguir un nivel de resiliencia adecuado de un nuevo ecosistema que actualmente está muy fragmentado, quizás interoperabilidad y seguridad puedan ir de la mano si ciertas comunicaciones se realizan desde infraestructuras nacionales y compartidas por todos los operadores que permita elevar y homogeneizar los requisitos de seguridad consiguiendo beneficios de economía de escala.

Carlos Martín

Fuente: HackerCar

Conoce en canal de Youtube de gestión de flotas

Suscríbete a la Newsletter de gestión de flotas

Curso ONLINE para la gestión de flotas de vehículos

Advanced Fleet Management Consulting, Webfleet Solutions, Optimatics, Mobileye, GantaBI, Unigis, Eccocar, y Alcoa Wheels organizan el “Curso para la Gestión de flotas de vehículos” con el fin de formar a los profesionales en gestión de flotas a tomar una visión global y conocer todas las actividades y factores clave involucrados en la gestión de una flota de vehículos.

El curso es único y presenta un enfoque innovador con los objetivos de reducir costes y optimizar la gestión de la flota.