Qué sabe tu coche de ti y por qué deberías preocuparte
El coche conectado significa más comodidad en la era digital pero también es una ventana indiscreta sobre nuestra vida. Cada kilómetro que recorres genera datos que no siempre sabes quién recoge, cómo los guarda, con quién los comparte y para qué se usan.
Es innegable que resulta muy cómodo subirse al coche y encontrarlo a la temperatura ideal gracias al sistema de preclimatización, con la ruta cargada en el navegador, la música que te gusta sincronizada y la actualización OTA esperando en segundo plano. Un lujo de la era digital que se sostiene sobre un flujo continuo de información sobre tu vida: dónde vas, a qué hora, cómo conduces e incluso qué escuchas en esos viajes. Pero esa información no siempre se queda en el coche.
La conectividad trae ventajas enormes como las continuas mejoras por software y el acceso a servicios útiles pero también plantea preguntas urgentes sobre privacidad, propiedad de los datos y riesgos de seguridad. Cada vez más modelos nuevos incluyen conexión permanente a internet, sistemas de geolocalización en tiempo real y se asocian a aplicaciones de fabricantes donde el usuario puede gestionar el vehículo desde el móvil.
Qué datos recoge tu coche
Piensa en el vehículo conectado como un smartphone gigante con ruedas y te darás cuenta que tu coche va tomando notas de todo. Todo. Registra ubicación, velocidad, patrones de frenado y aceleración, historial de rutas, hábitos horarios, datos de sensores, interacciones con el móvil (llamadas, mensajes e incluso contactos), búsquedas en el sistema de infoentretenimiento e incluso en algunos modelos hasta biometría básica.
Además, los fabricantes y proveedores de servicios vinculan esos datos al número de bastidor y, si lo enlazas con tu cuenta o perfil, también asocian la información a tu nombre, teléfono, correo electrónico y datos bancarios. Todo eso puede convertirse en un perfil sorprendentemente íntimo. ¿Quién lo usa y con qué fin?
La privacidad es el primer ámbito que se ve afectado. Nuestro coche crea un dossier sobre nosotros y lo ofrece en el mercado. Utilizada para el perfilado y uso comercial principalmente, la información no sólo se la queda el fabricante. También empresas de sistemas de navegación, empresas de movilidad, talleres, aseguradoras y una innumerable cantidad de compañías tecnológicas.
Los datos se tratan de manera anónima, suelen indicar. Lo cierto es que sí pero en muchas ocasiones la pseudo-anonimización no siempre protege porque combinando datos de ubicación, horarios y hábitos se puede identificar a una persona concreta sin demasiado esfuerzo.
Activar todos los servicios conectados significa más comodidad, más actualizaciones y más integración con tu vida digital pero también significa que tu coche se convierte en una caja negra que registra y comparte buena parte de tu vida. Se supone que puedes elegir pero no siempre hay elección real porque a menudo algunas funciones básicas están ligadas al envío de datos y si no aceptas pierdes servicios por los que has pagado.
En otro casos, las condiciones están enterradas en el larguísimo texto legal de términos aceptados al comprar el coche. No debería ser así: en mi opinión se deberían ofrecer controles sencillos para que el usuario pueda desactivar la recolección de datos no esenciales sin perder la seguridad y funciones más importantes del vehículo. Si aceptas que tu coche comparta datos, hazlo sabiendo qué se comparte, con quién y por cuánto tiempo.
El robo de datos o la manipulación remota son riesgos reales
La Unión Europea trata de regular el acceso a los datos de los vehículos en un constante tira y afloja con las compañías que quieren esos datos para ofrecer servicios y monetizarlos. Obligan a los fabricantes a implementar sistemas de gestión de ciberseguridad, alerta sobre riesgos y propone buenas prácticas.
¿Significa eso que estamos seguros? No exactamente. Las leyes están ahí pero la práctica demuestra que seguimos dependiendo en exceso de la buena voluntad y la rapidez de reacción de los fabricantes. No siempre se vigila el cumplimiento de la protección de datos y los estándares de ciberseguridad deberían ser más exigentes.
Aunque se trata de equilibrar competencia, privacidad y seguridad, es evidente que las posibilidades de manipulación remota o sabotaje han aumentado drásticamente con el coche conectado. Los atacantes explotan fallos en la conectividad, contraseñas débiles en proveedores o cadenas de suministro con escasos controles.
Sé que no descubro el fuego cuando te digo que los coches conectados introducen nuevos vectores de riesgo. Una actualización mal testeada puede abrir la puerta a software comprometido o una conexión Bluetooth que no esté suficientemente protegida permite a un atacante intentar inyectar código malicioso.
Te pongo varios ejemplos. En julio unos investigadores encontraron fallos en una conexión Bluetooth usada por Mercedes y Volkswagen que podrían permitir ejecución remota de código en sistemas de infoentretenimiento (artículo de Security Week). Un poco antes también se alertó de que el Nissan Leaf tenía vulnerabilidades que incluso permitirían su control remoto (detalles en este artículo de Road & Track).
PCAutomotive descubrió vulnerabilidades en los sistemas de infoentretenimiento del Grupo Volkswagen que los atacantes podrían usar para afectar al funcionamiento del vehículo o para robar datos de los usuarios (puedes saber más en Cyber Insider). Así mismo, Kaspersky señalaba problemas en el sistema MBUX de Mercedes (también puedes leerlo en Security Week).
El año pasado hubo una ola de robos de coches en Reino Unido aprovechando sus sistemas de acceso sin llaves (información en The Associated Press). Un bug en una web de Kia se podía explotar de manera que permitiría la localización, desbloqueo y arranque de millones de vehículos (explicado en Wired).
En 2020 unos investigadores demostraron cómo podían robar un Tesla aprovechando una comunicación Bluetooth poco protegida (léelo en Forbes). Remontándonos más en el tiempo encontramos uno de los ejemplos más conocidos: en 2015 unos hackers tomaron el control de un Jeep explotando el sistema multimedia (te lo contamos aquí).
Hay muchos más casos pero no quiero que te entre la paranoia. Simplemente pongo sobre la mesa el riesgo real de la ciberseguridad automotriz para que nadie venga diciendo «eso no pasa nunca». Lo que sí ocurre con más frecuencia de la deseada es otro frente igual o más preocupante: el robo de datos.
Un fallo en un servidor o en la app de un fabricante puede filtrar datos personales, contraseñas e incluso información bancaria vinculada a las cuentas del usuario. Aprovechando esas brechas permiten a atacantes extraer millones de registros en poco tiempo que pueden alimentar fraudes financieros, robos de identidad o campañas de phishing.
¿Qué puedes hacer tú?
El fabricante lo sabe todo de ti, tú apenas sabes qué datos salen del coche. Mi consejo: revisa la configuración de privacidad del coche al comprarlo, evita vincular más datos personales de los necesarios y exige al vendedor o fabricante explicaciones claras sobre la política de datos y actualizaciones. Si vendes tu vehículo recuerda desvincular tus cuentas y si optas por adquirir un coche en el mercado de segunda mano pregunta qué servicios están activos.
Los coches conectados pueden ser magníficos compañeros de viaje: aportan seguridad, comodidad y pueden mejorar con actualizaciones. Pero también registran una versión bastante fiel de tu vida diaria. No digo esto como un rechazo a la conectividad sino como una llamada a hacerlo bien: debe haber una regulación exigente, una práctica empresarial responsable y tener consumidores informados.
