Un reportaje de la revista Wired en 2015 puso los pelos de punta a los conductores y terminó en tribunales. El último ciberataque a la casa Jaguar Land Rover (JLR) en verano de 2025 ha concluido en rescate gubernamental. En la década transcurrida entre un suceso y otro, el dilema de la seguridad en el «internet de las cosas» ha preocupado bien poco a los legisladores y fabricantes.
Muñecas con WiFi, calderas y persianas conectadas, bombillas controladas por móvil, monitores de bebés en la red, cerraduras de apertura remota, robots de cocina enchufados a la fibra digital, gafas de sol acopladas al teléfono… Lo estamos poniendo todo «en línea» o, dicho de otra forma, a cualquier trasto le injertamos uno o más ordenadores.
Cada objeto que se conecta lo hace a través de un enrutador o tiene su propio método de acceso, generalmente una tarjeta SIM.
Desinformación y desconocimiento
A priori esto resulta en comodidad o en esnobismo, o entra en ambas categorías a la vez. El conflicto evidente es que nadie supervisa o audita estos aparatos y, sobre todo, los usuarios saben poco o nada sobre los programas/códigos que los gestionan. No estamos acostumbrados. Nos interesamos por la calidad de fabricación de los elementos físicos, no por los intangibles.
Dentro de la automoción, hallaremos información copiosa que nos explique si los inyectores de un modelo son de Bosch o si la transmisión es ZF; más difícil será encontrar referencias de qué empresa ha creado los programas que rigen los ordenadores del vehículo.
Los programas, o código, o software, esto último para quien guste de colar alguna morcilla en inglés macarrónico cada pocas palabras al hablar; el producto informático en sí, llámesele como se quiera, también puede ser de primera calidad o una soberana pifia.
El fabricante de muñecas ha convertido su juguete en un ordenador, pero no va a invertir en un grupo de ingenieros informáticos que desarrollen un programa sin puertas traseras ni vulnerabilidades. Eso sería carísimo. Antes apuesta por comprar los programas que vende un tercero, sin mirar demasiado de dónde podría venir un pirateo.
Cuando se descubre que la muñeca graba y envía todo cuanto capta con sus micrófonos y cámaras a mil y pico de empresas revendedoras de datos, puede hacer poca gracia, pero es raro que el asunto
trascienda.
Si el pirateo se produce en un sensor de glucosa, en un marcapasos, en un implante coclear, en una depuradora de aguas, en un avión o en un coche; cuando el objeto es susceptible de generar catástrofes evidentes, ya deberíamos ser más cautos antes de conectarlo.
Un Jeep pirateado
El reportaje de Wired demostró cómo los investigadores Charlie Miller y Chris Valasek accedieron a comandos críticos de un coche, incluso a los frenos y el volante, desde su ordenador portátil, mientras el periodista que se prestó a conejillo de indias conducía aquel Jeep por la autopista y luego se movía por un aparcamiento. Wired dijo que su investigación conllevó una llamada a revisión de más de un millón de vehículos de la matriz Chrysler. Y los abogados tomaron nota.
Hay pocas personas que entren en un concesionario y pregunten cómo es la ciberseguridad del vehículo que les interesa, o cómo se puede desconectar de internet, o dónde está la tarjeta SIM y cómo se accede a ella para retirarla, o cuál es la diferencia entre emparejar un teléfono con el multimedios y tener un multimedios conectado a internet veinticuatro horas, aunque el vehículo esté aparcado, o qué pasa con los datos recabados día tras día. Y pocos comerciales saben responder a estas preguntas.
El reclamo publicitario actual de cualquier modelo que se presente alardeará de que «este coche tiene más de 100 apps», «puede ver su serie favorita en el sistema multimedios», «caliente los asientos de su coche desde casa antes de salir», «converse con nuestra súper IA» y un buen fardo de proclamas ganzúa del mismo pelaje. Los posibles compradores no son expertos en seguridad informática; quizás les hace sonreír toda esta utilería electrónica y quizás es un factor que pesa a la hora de decidirse por un vehículo concreto.
Los fabricantes se cubren las espaldas
El conflicto del coche conectado o «inteligente» es saber quién ha hecho todos esos programas informáticos y quién asume responsabilidad por las puertas traseras que tengan. Los abogados tomaron nota del pirateo al Jeep, vaya si la tomaron.
Si alguien adquiere un vehículo conectado, en el contrato de compra apenas se fijará en un epígrafe como éste o muy parecido a este:
El acceso y el uso son por cuenta y riesgo de los usuarios. Los usuarios son los responsables de la protección de sus datos y software almacenados en sus dispositivos contra las intrusiones y violaciones. Sea el caso que sea, XXXX (constructor del coche), quedará exonerado/a de toda responsabilidad.
Traducido del ámbito de la abogacía al lenguaje coloquial: ¿mal funcionamiento o fallos?, el fabricante está exonerado. ¿Daños directos o indirectos derivados del uso de los programas durante la conducción?, el fabricante está exonerado.
En lo referente a la seguridad de un coche, los mensajes de alerta van siempre en la misma dirección: «cuidado, que no le roben el vehículo mediante el trucaje de la electrónica». Lo de llegar y descubrir que tu coche se lo han llevado unos malandrines, desde luego, es una faena. Pero si el coche bloquea la dirección mientras se conduce, o frena en seco, o no frena, o apaga y enciende intermitentes y luces porque los malandrines se lo pasan bien desde otro lugar lejano, la broma tiene posibilidades de terminar en heridas y fallecidos.
La tendencia a la hiperconexión ahora mismo lleva un camino ascendente, en un paso muy acelerado; incluso las balizas que la Dirección General de Tráfico ha autorizado en España han de estar «conectadas». Este delirio industrial es complicado que se frene dentro de la siguiente década. A la vista del rumbo que lleva la automoción, lo prudente sería obligar por ley la presencia de un botón en el salpicadero como el de las cuatro luces de emergencia, un mando de acceso instantáneo que desconecte de internet el coche si detectamos algo anómalo.
Recomendamos que vean el vídeo de Wired y el Jeep pirateado, así como la lectura del libro de Bruce Schneier, Haz clic aquí para matarlos a todos: un manual de supervivencia, publicado por primera vez en 2019.