El coche conectado, nueva herramienta de espionaje

Cuenta el Financial Times que los servicios de inteligencia estadounidense e israelí lograron localizar algunos de sus objetivos en Irán, entre ellos el líder Jamenei, hackeando cámaras de tráfico y utilizando inteligencia artificial. El diario llega a afirmar en su crónica que «la infiltración de Israel en Irán es absoluta». Y es que ese grado de penetración no se limitó al espacio público; alcanzó incluso el interior de los vehículos.

Unos días antes de la ofensiva contra Irán, el periódico israelí Haaretz publicaba un reportaje de investigación en el que señalaba a varias empresas del país que venden tecnología capaz de piratear los dispositivos conectados de los automóviles: rastrear sus movimientos en tiempo real, acceder a los teléfonos vinculados y, en la práctica, poner el coche al servicio de los aparatos de inteligencia. Un ámbito que se conoce como CarInt y que se apoya en la profunda transformación que han experimentado los automóviles en las últimas décadas.

¿Nos espía nuestro coche? ¿Son más vulnerables nuestros datos y nuestra privacidad dentro de un vehículo conectado? ¿Podría incluso ser deshabilitado de forma remota? Estas preguntas dejaron de ser meras especulaciones en el verano de 2025, cuando el Gobierno británico emitió una orden dirigida a militares y altos cargos políticos para evitar conversaciones sensibles en el interior de coches eléctricos. La recomendación se apoyaba en un informe del MI6 y señalaba directamente a determinados fabricantes chinos.

¿Puede un gobierno –ya sea el de Pekín o el de Washington– obligar a los fabricantes a incorporar algún tipo de «puerta trasera» que facilite labores de espionaje? La sospecha, en realidad, es mutua. En 2022, en la zona de Beidaihe, China prohibió temporalmente la circulación de vehículos de Tesla para garantizar la confidencialidad de una reunión de líderes gubernamentales. Hoy el país permite la venta de modelos Tesla, pero de aquellos fabricados dentro de sus fronteras.

Eusebio Nieva, director técnico de Check Point Software para España y Portugal, aclara que esta posibilidad ni ha sido desmentida ni confirmada, aunque matiza que, en cualquier caso, «no hace falta que exista una puerta trasera específica. Los fabricantes de info-entretenimiento no han tenido históricamente la seguridad como prioridad, sino la facilidad de uso. La misma centralita empleada para el infotainment se ha utilizado también para funciones de control del vehículo, como abrirlo o detenerlo en remoto. Sin embargo, desde hace años se trabaja para que estos sistemas estén completamente aislados y para que todos los fabricantes cuenten con certificaciones comunes que garanticen, entra otras cosas esa separación entre el infotainment y el sistema de control del coche».

De GPS a LIDAR

Los automóviles se han convertido en auténticas computadoras sobre ruedas, con decenas de sistemas digitales conectados a internet: posicionamiento GPS, cámaras que vigilan el entorno, sensores de última generación, micrófonos para el manos libres y reconocimiento vocal, sistemas LiDAR, conexiones Wi-Fi y Bluetooth e incluso tarjetas SIM integradas. Cualquier elemento digital del vehículo puede ser vulnerable, hasta los sensores de presión de los neumáticos y la ya manecionada pantalla de info-entretenimiento. Aunque esta evolución ha mejorado la experiencia de conducción, también ha abierto un debate sobre la privacidad y la seguridad de los datos –lo hemos visto con la aparición de las balizas V16– y se ha convertido en una preocupación de seguridad nacional. Los datos sobre cómo circulamos, por dónde nos movemos, con quién hablamos o cómo frenamos no solo resultan valiosos para las empresas, sino que también convierten al vehículo en un objetivo atractivo para terceros, desde gobiernos hasta ciberdelincuentes.

Javier Goikoetxea, CEO de Next Mobility, doctor en Big Data y Smart Mobility por la Universidad de Deusto y profesor de Innovación y Transformación Digital en la Universidad Francisco de Vitoria, relativiza el riesgo: «Quien quiere espiar puede hacerlo, y quien diga lo contrario no está diciendo la verdad. Como cualquier máquina conectada a internet, un coche puede ser hackeado. La seguridad total no existe, pero eso no significa que no haya parámetros que deban garantizarse».

En el caso del vehículo, explica, «existe una regulación europea que los fabricantes cumplen para mitigar al máximo las posibles vulnerabilidades. Los coches están suficientemente protegidos».

A su vez, Nate Drier, Technical Lead del Red Team de Sophos, señala dos diferencias clave respecto a otros dispositivos cotidianos, como los teléfonos móviles: «En primer lugar, la variedad de sensores de un vehículo moderno suele captar más datos del entorno (vídeo, audio, sincronización de teléfonos). En segundo lugar, las consecuencias de una brecha pueden ir más allá de la exposición de datos y afectar a la seguridad física». Los atacantes buscan de forma constante vulnerabilidades explotables en cada superficie conectada y los fabricantes buscan reforzar sus sistemas de seguridad, en lo que describe como «un juego del gato y el ratón que lleva años produciéndose y que simplemente ahora se juega también sobre ruedas», dice.

Un vehículo comprometido puede ver sus funciones deshabilitadas de forma remota, sus sensores manipulados y sus comunicaciones interceptadas. También existen riesgos asociados a la capacidad de recibir actualizaciones de software. «En teoría, un coche que recibe actualizaciones remotas podría ser utilizado como plataforma de vigilancia o, en el peor de los casos, tener anuladas sus funciones autónomas», advierte.

Casos de hackeo

Drier recuerda que existen registros de car hacking desde principios de los años 2000, aunque el hacking moderno de vehículos comenzó a cobrar relevancia en 2015, cuando investigadores de seguridad empezaron a analizar coches conectados. «Desde entonces, el volumen de ataques ha crecido al mismo ritmo que la conectividad. En diciembre de 2024, una mala configuración crítica en Cariad, la filial de software del Grupo Volkswagen, expuso datos sensibles de unos 800.000 vehículos eléctricos de las marcas VW, Audi, Seat y Skoda. En unos 460.000 casos, las coordenadas GPS estaban vinculadas directamente a nombres, correos electrónicos y números de teléfono de los propietarios», comenta. La brecha fue descubierta por el Chaos Computer Club y los datos incluían perfiles de movimiento de políticos, líderes empresariales y vehículos patrulla de la policía de Hamburgo. Lo más llamativo es que no se necesitó un ataque sofisticado», comenta.

El experto señala otro caso ese mismo año: «Otra brecha en una red de carga de vehículos eléctricos permitió el robo de información personal, números de identificación de vehículos y datos de geolocalización de estaciones de carga. Estos incidentes demuestran que la superficie de ataque no se limita al coche, sino que se extiende a todo el ecosistema digital que lo rodea.

Consejos

Desde Sophos recomiendan una higiene básica de comportamiento: evitar sincronizar dispositivos personales con vehículos que no sean propios y borrar los datos de dispositivos emparejados antes de devolver un coche compartido o de alquiler. «Más allá de estas medidas, los compradores deberían tratar la configuración de datos de su vehículo con la misma diligencia que aplicarían a su móvil o a cualquier dispositivo inteligente. Esto implica revisar y restringir las opciones de intercambio de datos tanto en el sistema de infoentretenimiento como en las aplicaciones del fabricante, desactivar funciones de conectividad nnecesarias cuando no se utilicen y mantener el software actualizado». También aconsejan evitar conversaciones delicadas o el intercambio de información sensible dentro del vehículo, especialmente en el caso de personal de Defensa.

Seguridad, el talón de Aquiles del coche autónomo

En Estados Unidos o China, los robotaxis ya son ya una realidad. En Europa, sin embargo, el despliegue del coche autónomo avanza con lentitud. «Aquí solo se permite el nivel 3 de autonomía, en el que debe haber una persona atenta al volante, mientras, en EE UU y China ya se autoriza el nivel 5», explica Goikoetxea. Además, recuerda que desde 2022 los coches que se vendan en Europa están obligados a contar con una SIM conectada y caja negra. Eso significa que, de los cerca de 25 millones de turismos que circulan en España, apenas 2,5-3 millones son vehículos conectados. «Generan información que se devuelve al usuario en forma de servicios. Sabemos que la tasa media de accidentes en España ronda el 20% y que el coche autónomo podría reducirla hasta el 0,2%», dice. Sin embargo, advierte de que el exceso de regulación en Europa frena su implantación: «En Europa estamos demasiado preocupado por tener todos los supuestos legales atados, como en caso de accidente de quién es la responsabilidad y eso está retrasando su impulso».