Público
Público

La 'guerra electrónica' en Ucrania debería preocuparte: así pueden bloquearte tu flamante coche nuevo

Cada vez más sofisticados, coches, autobuses, camiones y hasta tractores contienen una cantidad creciente de componentes electrónicos, ordenadores de a bordo y conexión a las redes. Entre otras funciones, recogen la información de cientos de sensores repartidos por el vehículo y os envían al fabricante para facilitar valiosos datos... y para ejercer un cierto control.

Maquinaria de John Deere.
Maquinaria de John Deere. Reuters

Hace casi un mes pudimos ver cómo, durante la invasión de Ucrania, cerca de una treintena de tractores agrícolas de la compañía estadounidense John Deere fueron incautadas por los rusos, para descubrir poco después que no había manera de arrancarlos: aparentemente, habían sido bloqueados a distancia por la empresa. ¿Cuánto poder tienen los fabricantes de vehículos sobre su funcionamiento?

Vivimos en un momento en el que coche nuevo significa 'vehículo conectado'. Y tal conexión significa un constante tráfico de datos entre los coches y sus fabricantes; teóricamente, esta valiosa información sirve para mejorar estos productos. En la práctica, pueden servir para muchísimo más: el control llega hasta la obligación de reparar el vehículo en un servicio autorizado o evitar el uso de piezas que, si bien idénticas, no tienen licencia.

Recientemente, tropas rusas se incautaron en un concesionario de John Deere, el mayor fabricante de tractores del mundo, de varias unidades valoradas en unos cinco millones de euros, informaba recientemente la CNN. Trasladaron estas cosechadoras de la ciudad de Melitópol a Chechenia. La sorpresa fue que no podrían arrancarlas: la compañía había bloqueado los vehículos en remoto.

Desde hace años, agricultores de EEUU utilizan programas ucranianos (precisamente) para romper este vinculo con el fabricante y poder reparar sus tractores sin la obligación de acudir a los concesionarios oficiales. El periodista especializado en tecnología Javier Pastor lo contaba de manera extensa y detallada en Xataka en 2018.

Pero ahora, paradójicamente, parece que esos tractores incautados no disponen del hack ucraniano instalado para librarse de este bloqueo, al salir directamente de un concesionario: de momento, dichos tractores no sirven para nada. Según la CNN, el material confiscado se quedó en una granja cerca de Grozny, aunque parece que algunos consultores en Rusia están tratando de eludir la protección para volver a ponerlos en marcha.

La otra cara del 100% conectado

Esta historia tiene un trasfondo realmente oscuro, tal y como cuenta el escritor y analista de tecnología y sociedad Cory Doctorow en su blog. Lo que parece un episodio fascinante de la guerra electrónica es, en realidad, un toque de atención a los fabricantes de vehículos que, de una forma y otra, tienen conectados a internet los vehículos que venden.

Doctorow alerta de que "si los técnicos autorizados de John Deere pueden bloquear cualquier tractor o cosechadora en cualquier parte del mundo, entonces cualquiera que soborne, piratee o chantajee a un técnico de John Deere (por ejemplo, los piratas informáticos de Rusia) pueden hacer exactamente lo mismo" en EEUU, por ejemplo. Esa funcionalidad se llama 'kill switch' (algo así como botón de la muerte) y si un tractor de John Deere lo tiene, ¿qué nos hace pensar que cualquier vehículo conectado no?

La tecnología que es capaz de 'capar' un vehículo conectado a internet se conoce como bloqueo de "VIN" ("identificación del vehículo" por sus siglas en inglés). Ese identificador incluye el numero de bastidor del vehículo, entre otros parámetros adicionales. Es como el DNI del coche. De esta forma, un mecánico puede arreglar una avería, pero hasta que un técnico oficial de la marca no ingrese un código determinado de desbloqueo el coche no reconoce las piezas nuevas como propias, por lo que no arranca.

En un amplio reportaje publicado en El Confidencial, el periodista especializado en tecnología Guillermo Cid habla con un agricultor español, Tomy Rohde, quien prefiere los tractores anteriores y sin tanta electrónica por razones de rendimiento y fiabilidad. En la Unión Europea, además, la maquinaria agrícola tiene unas características específicas que hacen aumentar las garantías a la hora de facilitar las reparaciones, tal y como obliga el Reglamento 1322/2014.

Tractor autónomo de John Deere, presentado en el CES 2022.
Tractor autónomo de John Deere, presentado en el CES 2022. J.D.

La propia compañía no desmiente ni confirma lo que la CNN cuenta que ha pasado en Melitópol con sus tractores, pero declara al citado medio que "no hay ningún concesionario en España… ni ninguna persona en todo el equipo técnico de la marca que pueda intervenir en las cajas electrónicas de manera remota sin consentimiento activo del cliente, así que es muy complicado creer que lo haya podido hacer incluso el ejército ucraniano".

Pero es que la intervención remota en vehículos conectados no es tan "complicado". De la misma manera que la mayoría de los automóviles modernos vienen con conexión de datos integrada, Bogdan Botezatu, director de investigación de amenazas en Bitdefender, confirma a Público que "existen varias marcas que incluyen la desactivación remota de automóviles, así como los servicios de ubicación GPS para ayudar a los propietarios de flotas o las empresas de arrendamiento/alquiler a rastrear y detener de manera segura un automóvil robado".

Algunas marcas han demostrado que, de hecho, pueden bloquear sus vehículos desde hace años. Por ejemplo, BMW colaboró con la policía de Seattle (EEUU) en 2016, al 'encerrar' de manera remota a un ladrón en el vehículo de la marca alemana que había robado.

Hoy en día, ningún coche se libra de estar conectado a internet; en Europa, prácticamente todas las marcas ofrecen sus modelos con más o menos características que dependen de su conexión en línea. Varios estudios, como este de la OCU de hace dos años, han estado incidiendo en la fragilidad y la escasa seguridad de este tipo de enlace.

A vueltas con la propiedad intelectual

La defensa a ultranza de la propiedad intelectual (más fuerte en EEUU, más laxa en la Unión Europea) está detrás de estos sistemas cerrados, que obligan a los propietarios de vehículos a pasar por el taller oficial o a utilizar piezas de recambio originales.

Como ya hemos contado, ese tipo de bloqueo remoto se puede eludir mediante la modificación del 'firmware' (el programa que hace funcionar estos sistemas), que es "básicamente hackear el propio automóvil, pero que puede tener consecuencias inesperadas, incluida la pérdida de la garantía", apunta Botezatu, que recuerda que existe todo un "movimiento ciudadano por el derecho a reparar" que exige poder areglar, reutilizar y renovar cualquier máquina, aparato o dispositivo, sin tener que sufrir estas restricciones por parte de las marcas.

Los casos en los que una compañía "se cuele" en un dispositivo para hacer y deshacer a su gusto han sido siempre polémicos. Por ejemplo, Amazon llegó a borrar obras "pirateadas" en cientos de dispositivos Kindle allá por 2009: nada menos que '1984' y 'Rebelión en la Granja' de George Orwell. Esta intrusión, bajo la excusa de la protección de los derechos de autor, llegó a horrorizar al propio jefe de la compañía, Jeff Bezos.

La cuestión queda en el aire: ¿queremos comprar máquinas que, en cualquier momento, el fabricante pueda manipular o bloquear a distancia? Porque la posibilidad no sólo es una realidad, sino que no hay manera fácil de eludirla.

Cambiar la configuración "fácilmente"

En Europa, el automóvil privado no es sólo un medio de transporte, sino que "representa una área privada", algo que está cambiando con el paradigma de los vehículos conectados, según reconoce en un manual la Agencia Española de Protección de Datos (AEPD), que se remite al del Comité Europeo (EDPB, por sus siglas en inglés).

Así, la primera recomendación general, quizá la más importante, es que "la información sobre los aspectos del tratamiento al interesado debe facilitarse de forma clara, sencilla y fácilmente accesible". También recomienda que los usuarios, una vez informados, "puedan cambiar la configuración asociada con sus datos personales fácilmente".




¿Te ha resultado interesante esta noticia?