¿Qué empresas del sector de la movilidad corporativa puede afirmar que cumplen con un nivel mínimo de ciberseguridad? ¿Cuál de ellas puede asegurar a sus clientes que los datos de su flota de vehículos están a salvo de un ciberataque? Las primeras en conseguirlo se posicionarán como referentes en el mercado porque sus clientes contarán con la garantía de que será más difícil que alguien malintencionado pueda acceder a sus datos, robarlos, manipularlos o eliminarlos, provocando el caos en su flota de vehículos, con el coste económico y reputacional que ello supone.
No es una historia de ciencia-ficción, el futuro de la movilidad no es entendible si no se integra la ciberseguridad en todos los elementos de su ecosistema. La nueva movilidad es una movilidad mixta, en la que todos se integran dentro de un mismo sistema de comunicaciones en el que no será bienvenida una plataforma que no cumpla unos niveles mínimos de ciberseguridad.

Ciberataques a flotas desde 2010

Es un hecho real: en los últimos años, se han multiplicado los casos de ciberataques contra vehículos… y contra flotas.
Desde EUROCYBCAR -empresa de ciberseguridad que ha desarrollado el primer test que mide y certifica el nivel de ciberseguridad de los vehículos, según la nueva normativa de ciberseguridad de la ONU/UNECE WP.29- podemos confirmar que en 2010 se produjo el primer “ataque” contra una flota de vehículos: un descontento empleado de un concesionario fue capaz de desconectar y dejar parados -a distancia y al mismo tiempo- 100 vehículos gestionados por el mismo Sistema de Gestión de Flotas.

Este tipo de ataques, lejos de disminuir, han aumentado con el paso de los años. Un ciberataque permitió conocer la ubicación de decenas de miles de vehículos en todo el mundo -desde Sudáfrica a Filipinas-, así como desconectar el motor de muchos de ellos. Todo, debido a una brecha de seguridad en el sistema de control de flotas iTrack y Protrack.

En otro, a través de su aplicación, fueron robados más de 100 vehículos de lujo de la flota de coches compartidos de Car2Go a través de su aplicación, lo que obligó a la empresa a dejar de prestar su servicio, temporalmente, en la ciudad de Chicago.

La mayoría de las empresas españolas prefieren pagar el rescate a los ciberdelincuentes que denunciar lo que les ha sucedido para evitar el coste reputacional que les podría acarrear

Muy preocupante fue el ciberataque que consiguió paralizar todos los coches de la policía estatal de Georgia (EEUU), lo que supuso a ese Estado pérdidas de 18 millones de dólares -en contra partida los delincuentes pedían 100.000 dólares por ‘liberar’ los vehículos que habían bloqueado. 
Luego está el caso de un investigador independiente que encuentra un fallo en la plataforma ‘Car Rental Management System 1.0’. Se trata de un gestor de flotas, desarrollado en código abierto para su uso en agencias de alquiler de vehículos.

Este mismo 2021, la empresa de alquiler de vehículos Ucar ha sido blanco de ransomware. Los piratas informáticos encontraron una puerta de entrada a sus servidores y accedieron a través de ella.

Más ciberataques durante la pandemia

Los ciberdelincuentes han aumentado el número de ataques. El sector del transporte fue el segundo que más ataques recibió durante la primera mitad del año pasado.
Otro dato revelador es que España ha estado en el ranking de los seis países de todo el mundo que más ataques han recibido relacionados con la pandemia. Y hay otro dato preocupante: la mayoría de las empresas españolas prefieren pagar el rescate a los ciberdelincuentes que denunciar lo que les ha sucedido para evitar el coste reputacional que esto les podría acarrear.

Desde EUROCYBCAR hemos registrado, según datos internos, un incremento de solicitudes relacionadas con nuestros productos y servicios. Llegamos a recibir un 25% más de consultas relacionadas con la ciberseguridad y hasta un 25% más de emails de empresas que solicitaban nuestros servicios o que tenían un problema, como los que se han planteado a lo largo de esta entrevista. No sabían a quién recurrir porque instituciones como INCIBE, que deberían dar respuesta a estos problemas, en su teléfono 017 de ayuda a empresas, no cuentan con expertos especializados en algo tan concreto como la ciberseguridad en los Sistemas de Gestión de Flotas y en Movilidad.

¿Qué ciberataques a vehículos son más habituales?

Las consecuencias derivadas de un ciberataque son críticas, tanto para la empresa que ha desarrollado y ofrece el sistema de gestión de flotas, como para la compañía que adquiere el software… O para los usuarios finales de los vehículos.

Las consecuencias derivadas de un ciberataque son críticas, tanto para la empresa que ha desarrollado y ofrece el sistema de gestión de flotas, como para la compañía que adquiere el software

Por ejemplo, monitorizando en tiempo real la posición del vehículo, se puede robar fácilmente; modificando las lecturas de temperatura de un camión con cámara de refrigeración, se puede echar a perder toda la mercancía que transporta dentro -con las consecuentes pérdidas económicas por no realizar la entrega en fecha de dicha mercancía, sin contar las reputacionales, por no cumplir con el servicio ya acordado-; deteniendo, de forma remota, los motores de los vehículos mientras circulan, lo que puede suponer pérdidas millonarias para la empresa y poner en riesgo a los conductores… Y estas son sólo algunas de las consecuencias de no disponer de un sistema de gestión de flotas ciberseguro.

¿Qué consecuencias tiene un ciberataque para una flota?

El coste de un ciberataque para una empresa es incalculable. Pero se puede enmarcar principalmente en tres ámbitos:

• Daño a la imagen de marca y a la reputación de la empresa, en caso de que salte a la “luz pública” la existencia de un fallo de ciberseguridad que ha expuesto información confidencial o datos de sus clientes.
• Desventaja competitiva para la marca, porque una brecha en ciberseguridad otorgaría a la competencia una posición de ventaja.
• Costes económicos imprevistos como consecuencia de las multas por robo de datos impuestas por los organismos reguladores, denuncias de clientes, costes logísticos por inoperatividad de flotas, costes de reparación urgente de la vulnerabilidad, descenso de ventas/contratos…

Tres consejos básicos de ciberseguridad para flotas

• Utilizar siempre contraseñas seguras y robustas: si el centro de control de un SGF o el transportista que utiliza una app del SGF recurren a contraseñas poco seguras, están facilitando en gran medida la entrada de un cracker al Sistema. Además, que un delincuente se haga con una contraseña puede tener, en la mayoría de los casos, peores consecuencias que muchos ataques ya que obtiene un acceso “teóricamente legítimo” a toda la información y funcionalidades que pueden llevarse a cabo desde el centro de control o desde las aplicaciones asociadas.
• Si los empleados disponen de aplicación del SGF, no deben utilizar nunca redes públicas o, por el contrario, disponer de una VPN. Y es que si un trabajador se conecta a una red WiFi pública -tenga contraseña o sea de libre acceso-, un ciberdelincuente puede ver, sin mucho esfuerzo, todo el tráfico que circula por la misma, pudiendo obtener información confidencial, credenciales para el inicio de sesión, etc.
• Asimismo, los trabajadores deben estar siempre alerta con los correos o mensajes que reciben, comprobar su veracidad y evitar pinchar en enlaces que les redirijan a páginas web donde se solicitan datos personales, profesionales, bancarios… etc.

Además, las compañías de renting o que ofrecen servicios de movilidad corporativa no deben tener brechas de seguridad en sus aplicaciones, infraestructuras de comunicaciones y servidores.

Todos los nuevos vehículos que se homologuen en la UE desde julio de 2022, y todos los coches que se vendan desde julio de 2024, deberán contar con un certificado de ciberseguridad

Soluciones EUROCYBCAR

Para el caso de flotas o empresas de logística, EUROCYBCAR cuenta con dos productos:

• El Test integral de Sistemas de Gestión de Flotas. El primer test en el mundo que evalúa, en remoto, la ciberseguridad de los Sistemas de Gestión de Flotas, así como de las Aplicaciones asociadas al mismo y que utilizan los usuarios de los servicios de esa Flota. Se puede aplicar tanto a vehículos para el transporte de personas –Autobuses, Taxi, Rent a Car, etc.– como a la gestión logística de transporte de cualquier empresa.
• Todos los nuevos vehículos que se homologuen en la UE desde julio de 2022, y todos los coches que se vendan en ese territorio desde julio de 2024, deberán contar con un certificado de ciberseguridad. Y eso afectará, cómo no, a las flotas y los vehículos que los compongan. De hecho, podría ser el paso para una futura regulación… Según la nueva normativa de la ONU, una entidad o servicio técnico autorizado y ajeno al fabricante será el que verifique que un vehículo es ciberseguro y, también, será la que emita el certificado correspondiente, tras haber realizado las pruebas/tests pertinentes. Y ahí radica el éxito de EUROCYBCAR: es la única empresa que ha desarrollado un test -que realiza en su laboratorio de Vitoria-Gasteiz- que mide el nivel de ciberseguridad de un vehículo -coches, camiones, autobuses, trenes…- y que emite un certificado propio, que se ajusta a los requisitos que marca la nueva normativa que aprobó en junio la ONU, siendo pioneros en España, en Europa y en el mundo. 

El Test EUROCYBCAR comprueba el nivel de protección de un coche frente a ciberataques contra los sistemas conectados del vehículo, llevados a cabo de forma FÍSICA, REMOTA y a través de las APPs que incluye el vehículo y las de la marca que el usuario se descarga en su móvil. Su objetivo es valorar cómo afectarían estas acciones a la seguridad física de los pasajeros, a la integridad de los sistemas del coche y a la privacidad de las personas que viajan a bordo.

Para conocer si esa empresa está ciberprotegida, el grupo de expertos en ciberseguridad e ITs de EUROCYBCAR realiza una auditoría integral de ciberseguridad en la que se descubren problemas que ponen en riesgo a la empresa, a sus vehículos de flota o a sus empleados. Los informes técnicos que se entregan al finalizar la auditoría ofrecen recomendaciones para solucionar las vulnerabilidades detectadas, emitiendo un “sello” que acredita el nivel de ciberseguridad que se ha obtenido.

Queda mucho camino por recorrer. Porque además de proteger tanto a los dispositivos IoT, como a los móviles o los ordenadores, también hay que proteger a los vehículos y a los Sistemas de Gestión de Flotas… ¿Cuál es mi recomendación en caso de sufrir un ciberataque? Que llamen al 900 104 891 o remitan un email a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. -Centro Vasco de Ciberseguridad/BCSC. EUROCYBCAR está bajo el paraguas del Centro Vasco de Ciberseguridad -dirigido por Javier Diéguez- y es una empresa de tecnología recomendada por INCIBE y proveedora de la ONU.

Azucena Hernández
CEO EUROCYBCAR