¿Qué sucedería si un ciberdelincuente tomase el control de un vehículo conectado y provocase un accidente? ¿Quién debería hacerse cargo de los daños ocasionados: el fabricante del automóvil, como responsable del sistema de conectividad instalado, o la compañía aseguradora? Sin duda, el debate está servido…
Tal y como quedó de manifiesto en el artículo “El seguro en los vehículos conectados”, estos últimos han iniciado un carrera imparable. En este sentido, las estimaciones apuntan a que el 22% de los coches que circulen por el planeta en el año 2020 tendrán conexión a Internet. Pero, ¿cuáles son las principales ventajas que aporta la conectividad en los automóviles?
Al respecto, en declaraciones al blog de Senassur, Lorenzo Vidal de la Peña, Presidente de la Asociación Nacional de Vendedores de Vehículos a Motor, Reparación y Recambios (Ganvam), apunta a la seguridad:
“La conectividad nos facilita realizar la ruta más adecuada o comunicar una situación de emergencia. Y también anticipar averías al avisarnos cuándo debe someterse nuestro coche a la próxima revisión”, explica.
Vehículos conectados: Principales riesgos
Sin embargo, en los vehículos conectados no todo son ventajas. Sobre los principales desafíos que entraña la conectividad en los automóviles, Josep Albors, Responsable de Concienciación e Investigación de ESET España, señala que, principalmente: “los coches conectados se enfrentan a dos riesgos: la conexión remota y sin autorización a un automóvil para obtener información privada y la posibilidad de que quien acceda al vehículo pueda pasar del sistema de entretenimiento a intentar controlar elementos más críticos como la dirección o el equipo de frenos. Además, no tardaremos en ver escenarios en los que los ciberdelincuentes impidan al usuario acceder a su coche, arrancarlo o salir de él”.
En la misma línea, Miguel Hernández, del equipo de Auditoría de S21sec, empresa española especializada en ciberseguridad, recuerda que: “el “hackeo” de automóviles es un riesgo “in crescendo” y, lo más preocupante, al alcance de cualquiera. Como hemos comprobado a través de diferentes estudios y pruebas, cualquier aficionado puede ejecutar un ataque a un coche conectado. Los flancos de riesgo han aumentado y nos encontramos con una amplia superficie de exposición inalámbrica –desde los sensores de monitorización de la presión de los neumáticos (TPMS, por sus siglas en inglés) hasta el sistema de cierre de las puertas o el de arranque sin llave– que se sirve de comunicaciones vía radiofrecuencia susceptibles de ser comprometidas”.
Y respecto a si el “ransomware”, uno de los ciberataques más utilizados en los últimos tiempos, podría aplicarse a los coches conectados, en Check Point no tienen ninguna duda: “Ya se ha visto que cualquier dispositivo relacionado con el Internet de las Cosas es vulnerable. Y siendo el “ransomware” uno de los tipos de amenaza más populares actualmente, parece bastante lógico pensar que los ciberdelincuentes puedan desarrollar programas maliciosos capaces de bloquear nuestro vehículo o sus sistemas, como, por ejemplo, el de navegación, y pedir un rescate por el código cifrado”, expone un representante de la compañía israelí al blog de Senassur.
¿Quién debe responder ante un accidente de tráfico?
Queda claro, pues, que los vehículos conectados están expuestos a las acciones de los ciberdelincuentes y que estos últimos pueden acceder a sus sistemas, llegando incluso a manipular elementos tan críticos como la dirección o el equipo de frenos. Pero, ¿qué sucedería si un automóvil conectado es controlado a distancia por terceros y dicha manipulación provoca un accidente de tráfico? ¿Quién debería hacerse cargo de los daños? ¿El fabricante del coche –como responsable del sistema de conectividad montado en el automóvil– o la compañía aseguradora?
Sobre tan interesante cuestión, Lorenzo Vidal de la Peña tiene claro que “en último término deben ser las compañías aseguradoras, que, sin duda, han de replantear sus soluciones para adaptarse a este nuevo “robo” que será el “hackeo” de un vehículo y responder ante los asegurados que lo sufran. Pero, como punto de partida, creo que debe existir una fuerte alianza entre los fabricantes de automóviles y los proveedores de seguridad para diseñar y garantizar coches más seguros”, opina el Presidente de Ganvam.
Por su parte, Gerardo Cabañas, Director General de AutoScout24 España, comenta que la pregunta planteada por el blog de Senassur es uno de los retos que ha de afrontar el seguro de coche en el futuro. Sin decantarse a favor de unos u otras, Cabañas cree que “los fabricantes tienen que trabajar en soluciones tecnológicas para aumentar la seguridad de la identidad digital y, al mismo tiempo, las compañías aseguradoras deben diseñar coberturas asociadas a estos nuevos riesgos”.
Desde el ámbito de la seguridad de la información, Josep Albors argumenta que “en caso de que un ciberdelincuente causase algún daño al vehículo o sus ocupantes provocado por un fallo en el diseño del automóvil o de los sistemas que lo gobiernan, el fabricante del vehículo debería tener algún grado de responsabilidad. Esta última tendría que ser establecida por el legislador competente en cada país con el objetivo de que las compañías aseguradoras puedan reclamar los gastos ocasionados y compensar a sus clientes”.
En el caso de Check Point, su portavoz abre aún más al debate: “Si el fabricante no se ha percatado de la existencia de una brecha de seguridad o, conociéndola, no ha desarrollado un parche, la responsabilidad recaería sobre él. Pero si existe una actualización y el usuario no la ha instalado, deberíamos preguntarnos por qué no lo ha hecho. ¿Por falta de información por parte de la marca, por desinterés, por dificultad? Son preguntas que necesitarán respuesta antes de señalar a un responsable”, plantean desde la compañía.
Pero, ¿qué opinan desde el sector asegurador? Al respecto, Mónica Pons, Presidenta de Aunna Asociación, razona que “ante el posible “hackeo” de un vehículo, estimamos que habrá que analizar quién actuó de manera negligente y facilitó que el mismo se llevase a cabo. Si el fabricante no hubiese adoptado las medidas de seguridad necesarias para impedir el ataque informático, o estas fueran tan burdas que resultaran sencillamente salvables, debería responder la marca. Si, por el contrario, el “hackeo” fuese facilitado por un descuido del usuario, esté último sería el culpable. En definitiva, la responsabilidad vendría marcada por la ausencia de diligencia”.
Nuevo escenario: adiós a los seguros tradicionales
Sin duda, la seguridad y el aseguramiento de los automóviles conectados abren un nuevo escenario. Preguntado sobre si la industria aseguradora se verá obligada a desarrollar unos seguros específicos para coches conectados, Josep Albors observa que “las compañías aseguradoras ya ofrecen seguros para afrontar ciberriesgos. En lo relativo al diseño de pólizas que hagan frente a los ataques que puedan sufrir los vehículos conectados, tan sólo habría que definir qué tipo de coberturas se establecen y la responsabilidad del fabricante”.
En cuanto a S21sec, Miguel Hernández prevé que “las aseguradoras acabarán incluyendo coberturas extendidas opcionales en sus seguros a todo riesgo que incluyan el mal funcionamiento del coche debido a errores de “software” o ataques informáticos”.
Por último, Mónica Pons se refiere a un panorama ciertamente complejo “Los vehículos conectados supondrán muchos cambios en el ámbito asegurador. Por un lado, habrá que tener en cuenta la responsabilidad del fabricante en lo referente a las vulnerabilidades de seguridad, los errores de programación, etc., que causen un mal funcionamiento del automóvil que pueda ocasionar un daño. Si, además, el coche asegurado es autónomo, podrían verse alteradas las condiciones de defensa jurídica, por ejemplo, en cuestiones como las infracciones de tráfico”, manifiesta.
“Adicionalmente, si vinculamos la información del vehículo conectado con la tecnología del “blockchain” –una base de datos distribuida que en castellano es conocida como “cadena de bloques”– y los “smart contracts” –programas informáticos también denominados “contratos inteligentes”–, cabrá la posibilidad de diseñar seguros inteligentes que cubran riesgos concretos en función del uso de los vehículos, con una garantía adicional de existencia y vigencia de la póliza, sin que puedan alterarse las garantías ni las coberturas”, añade Mónica Pons.
“En definitiva, todo el sector asegurador –compañías, instituciones y mediadores– tendremos que estar preparados para las implicaciones que conllevarán los coches conectados”, concluye la presidenta de Aunna Asociación.
También puedes leer:
Opiniones del sector asegurador sobre el control de los datos en vehículos conectados
El seguro en los vehículos conectados (I)
[…] ha dado lugar a un nuevo panorama en el que, como quedó de manifiesto en el recomendable post “Debate sobre responsabilidad en siniestros de vehículos conectados”, mucho tienen que decir las partes implicadas: fabricantes, empresas desarrolladoras de los […]