¿Te está espiando tu coche?

Cómo las fuerzas del orden y los servicios de inteligencia aprovechan los datos de los vehículos conectados, y qué información sobre ti podría estar revelando tu coche.

Herramientas de vigilancia basadas en vehículos

Es mejor pensar en el coche moderno como un ordenador sobre ruedas, uno que envía constantemente datos de diagnóstico a los servidores del fabricante o del concesionario. A bordo, encontrarás docenas de sensores: de todo, desde GPS, velocímetros y micrófonos de manos libres hasta cámaras externas y los sensores menos obvios (pero altamente activos) que miden la presión del pedal, la presión de los neumáticos, la temperatura del motor y más. Incluso si estos datos no se transmiten al fabricante en tiempo real, se registran en la memoria interna del coche y pueden revelar una gran cantidad de información sobre los viajes, los hábitos y el entorno del conductor. Ya hemos analizado en profundidad cómo los fabricantes de automóviles recopilan datos para uso comercial y a quién se los venden (aviso de spoiler: las empresas de seguros son los mayores compradores de telemetría), pero hoy estamos analizando cómo las agencias de inteligencia y las fuerzas del orden aprovechan esta mina de oro.

Pruebas digitales

Los departamentos de policía de todo el mundo han reconocido el inmenso valor de los datos almacenados en los vehículos. Si un coche o su propietario están potencialmente relacionados con un delito, los investigadores no se limitan a buscar huellas dactilares o ADN. La tecnología Car Intelligence (CARINT) les permite esencialmente rastrear todos los ordenadores a bordo y extraer datos como los siguientes:

  • Historial de viajes basado en GPS
  • Registros de llamadas, actividad del reproductor multimedia y comandos de voz
  • Listas de dispositivos emparejados y listas de contactos sincronizados
  • Estadísticas de conducción: kilometraje, modos de rendimiento del motor y otros parámetros técnicos

Existen numerosos precedentes en los que estos datos han servido como prueba y han desmontado coartadas. En un caso penal en Estados Unidos, un comando de voz grabado se convirtió en una prueba irrefutable que demostró que el sospechoso estaba al volante de un vehículo robado.

Con el auge de los coches conectados, equipados con sus propias tarjetas SIM y enlaces directos con el fabricante, las fuerzas del orden ya no necesitan acceso físico al vehículo. Los datos clave, como el historial de ubicación del GPS, se pueden extraer directamente de los servidores del fabricante. Además, una investigación del Senado de los Estados Unidos ha revelado que nueve de los catorce fabricantes de automóviles encuestados proporcionaban estos datos sin una orden judicial.

Los principales proveedores de software de inteligencia para coches, como Ateros, Berla, TA9/Rayzone y Toka, venden sus soluciones exclusivamente a organismos gubernamentales y fuerzas del orden, razón por la cual han permanecido en gran medida fuera del ojo público.

Vigilancia integral

Para rastrear a personas de interés, los datos extraídos del propio vehículo se cotejan con información de otras fuentes. Según filtraciones de los medios de comunicación, los productos más destacados de esta categoría recopilan datos de la tarjeta SIM del coche, registros de comunicaciones por Bluetooth, imágenes de cámaras de seguridad de la calle e información disponible en el mercado procedente de agentes de datos. Este conjunto de datos híbrido simplifica la elaboración de un mapa integral de los movimientos y contactos de un objetivo. Los periodistas han descubierto que algunas empresas incluso comercializan la capacidad de activar los micrófonos y las cámaras de un vehículo de forma remota y encubierta, lo que permite escuchar las conversaciones en tiempo real. Sin embargo, los expertos señalan que debido a la diversidad de implementaciones técnicas en los diferentes sistemas, piratear el coche en sí sigue siendo una tarea difícil sin garantía de éxito. A menudo, es más sencillo correlacionar otros conjuntos de datos más accesibles para lograr el mismo resultado.

Herramientas de espionaje instaladas de fábrica

En teoría, las funciones como la activación encubierta de cámaras, micrófonos y otros sensores pueden formar parte de la funcionalidad de fábrica de un vehículo, en lugar de ser el resultado de un pirateo. Si bien no hemos encontrado ninguna evidencia pública de tales casos, es bien sabido que los vehículos fabricados en China están siendo objeto de un mayor escrutinio en varios países. Por ejemplo, se han prohibido en las instalaciones militares israelíes, con la excepción de un solo modelo de Chery, siempre que se elimine su sistema multimedia. Existen prohibiciones similares en el Reino Unido y Polonia; además, se ha ordenado a los empleados del Ministerio de Defensa del Reino Unido que no conecten sus teléfonos de trabajo a coches de fabricación china. En Alemania, los análisis de seguridad de los vehículos chinos fueron realizados por las agencias especializadas BfV y ZITiS, pero los resultados permanecen clasificados.

Vigilancia de bajo coste

Rastrear un vehículo, o incluso miles de ellos, no requiere necesariamente piratear los sistemas a bordo ni acceder a amplias redes de lectores de matrículas. Un estudio científico reciente ha demostrado que los sistemas de control de la presión de los neumáticos (TPMS) proporcionan datos suficientes para un seguimiento eficaz. Los datos de estos sensores se transmiten por radio sin ningún tipo de cifrado e incluyen un identificador único que facilita la identificación de un coche específico. Esto permite no solo confirmar el movimiento del coche, sino que incluso puede utilizarse para calcular el peso del conductor o determinar si viaja solo. Si bien esto puede no sonar tan impresionante como acceder de forma remota a las cámaras de un coche, requiere muy poca inversión financiera y funciona incluso en vehículos relativamente antiguos sin conexión a Internet.

Qué puedes hacer con respecto al seguimiento de vehículos

Aunque el seguimiento de una persona a través de su coche supone sin duda un riesgo para la privacidad, es difícil encontrar un equilibrio para mitigar esta amenaza: muchas medidas son complejas, en gran medida ineficaces y, al mismo tiempo, reducen la utilidad, la seguridad y la comodidad de un vehículo moderno. En consecuencia, cualquier medida que se adopte debe evaluarse en función de tu perfil de riesgo personal.

Para reducir el riesgo de filtración de datos, verifica la configuración de privacidad en la aplicación del fabricante, el sistema de información y entretenimiento del coche y tu teléfono inteligente conectado. Un coche conectado puede transmitir datos sobre su funcionamiento a la nube: información sobre viajes, ubicación, estilo de conducción, condición del vehículo y funcionamiento de sus componentes. Algunos de estos datos son necesarios para la navegación, el diagnóstico y el servicio, pero no todos los permisos son necesarios; verifica la configuración y desactiva la transmisión de datos no relacionados con las funciones que necesitas.

Ten cuidado con los permisos de acceso al micrófono, la cámara, los contactos, los mensajes y la geolocalización. Solo conecta tus propios dispositivos al coche y no guardes los teléfonos de otras personas o dispositivos Bluetooth desconocidos en el sistema. Al sincronizar el teléfono inteligente, elige solo las funciones que necesitas, como llamadas, música y navegación, en lugar de otorgar acceso completo a todos los datos del teléfono.

No utilices los servicios de técnicos que se ofrecen a “desbloquear” el coche, actualizar las unidades de control electrónico o instalar software no oficial para ampliar funciones, aumentar la potencia o interferir de otra manera con el funcionamiento del coche. El fabricante no ha probado dicho software: puede comportarse de forma impredecible, recopilar y transmitir tus datos a atacantes maliciosos, desactivar las funciones de seguridad o afectar a los sistemas críticos del vehículo, incluidos la dirección, el frenado o el funcionamiento del motor.

Y al escoger un coche nuevo, pregunta al concesionario no solo sobre la cantidad de estrellas en las pruebas de seguridad del NCAP, la potencia del motor o el ahorro de combustible, sino también sobre las tecnologías de ciberseguridad utilizadas en el vehículo. Soluciones como Kaspersky Automotive Secure Gateway, basada en KasperskyOS, proporcionan la protección necesaria para los coches nuevos contra las ciberamenazas.

¿Qué otras amenazas esconden los coches conectados? Más información en nuestras publicaciones:

Casi la mitad de las contraseñas del mundo se pueden descifrar en menos de un minuto

Descifrado en menos de un minuto: (casi) cualquier contraseña

Hemos retomado nuestro estudio sobre la facilidad con la que se pueden descifrar contraseñas reales filtradas en la red oscura, un estudio que realizamos originalmente hace dos años. Los resultados son preocupantes: casi todas las contraseñas se pueden descifrar en menos de un minuto, y tres de cada cinco en menos de una hora. ¿Cómo podemos dejar de usar contraseñas inseguras?

Casi la mitad de las contraseñas del mundo se pueden descifrar en menos de un minuto
Consejos
  • Para el resto de países