(dpa) – Todas las mañanas suena la emisora de radio favorita, la memoria del teléfono está llena de contactos y el navegador por satélite conoce todos los lugares a los que se suele ir: en primer lugar, el domicilio particular.
Los coches modernos saben mucho sobre los conductores y sus hábitos de conducción, almacenan datos constantemente y a menudo los comparten con el fabricante. De acuerdo, por ejemplo, con el Reglamento General de Protección de Datos (RGPD) que rige en la Unión Europea, los usuarios tienen que aceptar estas condiciones. Sin embargo, no siempre está claro qué datos se comparten y qué ocurre con ellos.
En un coche con muchos componentes diferentes se recogen innumerables datos; un vehículo funciona con hasta 120 unidades de control. «Todos los proveedores utilizan microchips, entre otras cosas para las funciones de seguridad y confort, así como para el sistema de infoentretenimiento», señala Sven Hansen, de la revista especializada alemana «c’t». «Durante la conducción, se acumulan en las unidades de control muchos datos a los que el conductor no tiene acceso, pero que son tan específicos que pueden extraerse de ellos conclusiones sobre el conductor y su comportamiento al volante», explica el experto.
Gran parte de estos datos no son almacenados durante mucho tiempo, sino que se sobrescriben permanentemente. Además, los conductores solo tienen acceso a una pequeña cantidad de estas informaciones, que incluyen los datos de los sistemas de navegación y entretenimiento. «Pero incluso los datos del motor permiten sacar conclusiones sobre un determinado comportamiento al volante, como el régimen del motor o cuántas veces se ha pisado el pedal del acelerador», afirma Hansen.
¿Para quién son visibles estos datos? Según el RGPD, el fabricante debe explicar la finalidad para la que se recogen los datos en el coche y qué ocurre con ellos. Los servicios telemáticos o las aseguradoras, por ejemplo, son los primeros interesados en optimizar sus productos con ayuda de esta información.
Nathalie Teer, responsable de Movilidad y Logística de la asociación alemana del sector informático Bitkom, diferencia entre los datos que deben recogerse obligatoriamente y aquellos que sirven para prestaciones de confort y servicios que se adquieren opcionalmente. «La cantidad y los datos correspondientes dependen en parte del vehículo y de la marca», señala Teer.
Según Teer, la ley especifica muchos parámetros que deben recogerse a efectos de seguridad y pruebas: «Algunos de los datos solo los recibe el fabricante y no son visibles para los clientes a primera vista», explica, y añade que esto incluye, por ejemplo, la información que se lee de la unidad de control durante la inspección general.
En cambio, prosigue Teer, las funciones opcionales, como los servicios de música, los ajustes de conducción o la navegación, pueden consultarse fácilmente: «Los usuarios deben aceptar activamente determinadas funciones y se les informa del paradero de los datos». La experta añade que esto atañe también a los datos que se comparten con terceros, y que a través de los cuadros de mandos del sistema de infoentretenimiento del vehículo o de apps conectadas, los conductores reciben a menudo resúmenes para otorgar permisos, eliminarlos o borrar datos.
Todos los datos del vehículo son relevantes para la protección de datos, afirma Christoph Krauss. «En cuanto los datos de un vehículo pueden vincularse al número de identificación del vehículo o al número de matrícula, deben considerarse datos personales, ya que, entre otras cosas, pueden crearse con ellos perfiles de movimiento», explica el catedrático de Seguridad de Red de la Universidad de Ciencias Aplicadas de la ciudad alemana de Darmstadt. Krauss coordina el área de Secure Autonomous Driving del centro de investigación Athene, dedicado a la ciberseguridad.
Krauss explica que algunos datos son especialmente relevantes para la seguridad, como los datos de control de los frenos. La manipulación de estos datos puede tener efectos devastadores. Muchas funciones de valor añadido también utilizan datos personales. Además, cuando se sincroniza el móvil con el coche, se envían datos tales como la búsqueda de ubicación, los niveles de llenado, los sistemas de bloqueo y el diagnóstico remoto del vehículo. El coche también envía información cuando se utiliza el sistema automático de llamada de emergencia eCall y la comunicación con otros usuarios de la carretera.
Sin embargo, un coche no almacena todos sus datos localmente; parte de ellos acaban en los servidores del fabricante o van a parar a terceros proveedores. Krauss explica que esto depende de la marca, el modelo y el año de fabricación del vehículo.
«Los conductores de automóviles apenas pueden protegerse contra los ciberataques y tienen que confiar en que los fabricantes han asegurado bien sus vehículos y sistemas de ‘backend'», afirma el académico. «Para los posibles atacantes, el ‘backend’ de los fabricantes, con sus numerosos datos, es claramente más interesante que un solo vehículo, por lo que lo más probable es que se ataquen esas conexiones», puntualiza Krauss.
En el pasado ha habido repetidos intentos de robar o manipular registros de datos, prosigue Krauss, y por ese motivo los vehículos modernos cuentan con una gran cantidad de medidas de seguridad: «Para protegerse de un móvil comprometido conectado al sistema de infoentretenimiento, por ejemplo, los sistemas de cableado del vehículo están divididos en dominios, de modo que no sea fácil acceder a sistemas críticos para la seguridad, como el freno».
En julio de 2022 entraron en vigor dos reglamentos de la Comisión Económica para Europa de las Naciones Unidas (CEPE) para los nuevos tipos de homologación: el R155 (Sistema de gestión de la ciberseguridad) y el R156 (Actualización de software y sistema de gestión de la actualización de software). La Unión Europea se ha adherido a ellos para establecer directrices al respecto. Estos regulan, por ejemplo, la separación digital del propietario y el vehículo. Además, también contienen especificaciones relativas a la ciberseguridad de conceptos de vehículos o mecanismos para actualizaciones seguras de software.
Los fabricantes de vehículos también deben demostrar que disponen de un sistema de gestión de la ciberseguridad (CSMS) que incluya procesos y medidas adecuados para evitar o remediar rápidamente los ataques a la seguridad informática durante toda la vida útil del vehículo. Las medidas adoptadas por los fabricantes que aplican el Reglamento R155 de la CEPE protegen los vehículos contra el acceso no autorizado. A partir de julio de 2024, la normativa se aplicará a todos los vehículos de nueva producción. Los proveedores también deben cumplir las nuevas normas.
¿Y qué pasa con los datos cuando se vende el coche? Sven Hansen aconseja restablecer todos los sistemas. Además del sistema de entretenimiento con navegación y agenda de direcciones, también habrá que reiniciar los ajustes favoritos de la radio y los posibles ajustes de confort. «Los propietarios a menudo se olvidan de borrar las aplicaciones o enlaces en la nube con el coche, lo que les permite continuar teniendo acceso al vehículo», señala Hansen, y advierte: «Pero los rastros electrónicos deben eliminarse por completo», enfatiza.
El automóvil club alemán ADAC recomienda que las aplicaciones preinstaladas en el sistema de infoentretenimiento, como las de streaming de música, se den de baja por separado antes de vender el vehículo. También es importante eliminar los enlaces a aplicaciones remotas que puedan utilizarse para controlar a distancia el coche o sus funciones a través del teléfono móvil. El borrado completo de los datos personales en el sistema de infoentretenimiento solo es posible mediante la función «Restablecer valores de fábrica».
«Legalmente, los conductores tienen la posibilidad de comprobar sus datos y borrarlos», explica el presidente técnico de ADAC, Karsten Schulze. «En la práctica, sin embargo, esto no es posible, ya que no está claro qué datos se recogen para quién y para qué», señala el experto, y añade que los consumidores se ven abrumados por tanto flujo de datos y que se necesita más transparencia.
Lo ideal sería disponer de una lista de todos los datos recogidos para cada modelo de coche, señala Schulze. «Los conductores podrían entonces decidir por sí mismos qué datos quieren que se borren», precisa el experto, y añade que también sería práctico disponer de una interfaz a bordo del coche que diera acceso a los datos y que pudiera utilizarse para ponerlos a disposición de terceros proveedores, si así se desea. De este modo, añade, los talleres independientes también podrían trabajar mejor y más fácilmente en los coches del futuro.
Sven Hansen aconseja a todo aquel que venda un coche que informe al responsable de protección de datos del fabricante de que se ha producido un cambio de propietario y le pida a este que borre todos los datos: «Todo cliente tiene derecho a hacerlo y así está a salvo del uso indebido de datos».
Hansen advierte que aún no es posible resetear completamente un coche, y que en el vehículo siempre quedan datos del propietario anterior, aunque solo sea la función de memoria de la transmisión automática para los tiempos de cambio.
Por Fabian Hoberg (dpa)