INCIBE advierte del robo de datos a autónomos en los puntos de recarga de vehículos eléctricos

El Instituto Nacional de Seguridad (INCIBE) alertó y recordó ayer desde sus redes sociales sobre los diferentes tipos de ciberataques y los problemas que puede conllevar el hecho de cargar un vehículo eléctrico en lugares públicos. Han explicado los ejemplos de ciberataques que se pueden sufrir, tanto por parte de los conductores, muchos de ellos autónomos, como por los negocios que son dueños de esa estación o punto de carga, y han aportado posibles soluciones.

En 2022, las matriculaciones de vehículos eléctricos en España alcanzaron las 100.425 unidades, según ha señalado la Asociación Empresarial para el Desarrollo e Impulso de la Movilidad Eléctrica (AEDIVE). En el presente año, hasta la fecha, ya se han matriculado 40.491 coches eléctricos, como apunta la agencia Europa Press Data. Para recargar esos vehículos, en Electromaps figuran en la actualidad 15.298 puntos de uso público, y es en lugares públicos donde se pueden sufrir los ciberataques mientras se carga el vehículo, ya que, la mayoría de los conductores únicamente puede recargar en estos espacios Desde INCIBE explica algunos ejemplos de estos posibles ciberataques.

Las vulnerabilidades más frecuentes se dan por la falta de seguridad en la autenticación y el XSS (Cross-Site scripting), lo que podría ser utilizado para conseguir información delicada, comprometer el navegador que se utiliza o, incluso, poder secuestrar las sesiones de usuario.

Algunas estaciones de recarga tienen puertos USB y se podrían realizar diferentes ataques al introducir un pendrive especialmente diseñado, que puede enviar una descarga de tensión muy alta, destruyendo el dispositivo de la estación de recarga o copiando los datos de configuración y los registros de la estación.

Otro problema es que las estaciones están conectadas a Internet, para así poder enviar y recibir información. Por lo tanto, es muy importante utilizar protocolos de ciberseguridad, ya que, si los que se utilizan no son seguros, la información que se transmite podría ser obtenida por el ciberdelincuente.

Así pues, los coches eléctricos pueden ser infectados a través de la estación de recarga, esto puede ser un gran problema, ya que puede afectar al correcto funcionamiento del coche y, por lo tanto, a la seguridad de las personas, ya viajen en el vehículo como se encuentren fuera de él, en el día a día de las ciudades.

Y hay que tener en cuenta que los datos que se usan en estas estaciones contienen información importante, como identificador del usuario, tarjetas bancarias, etc. Toda esta información podría ser obtenida por el ciberdeliencuente para suplantar la identidad del conductor que usa dicha estación de recarga.

Sería necesario implantar ciberseguridad en las estaciones de carga para vehículos eléctricos

Algunas de las posibles soluciones, que puedan evitar dichos ciberataques o, al menos, paliarlos en alguna medida estarían encaminadas hacia estas actuaciones:

• Integrar en los dispositivos alguna solución para que puedan detectar si, en los puertos USB, los pendrives que se utilicen se encuentren libres de infección de virus, etc.
• Implementar sistemas EDR; si existe algún problema dentro del dispositivo, se detectará y se podrá solucionar. Un sistema EDR contiene varios elementos de detección y de tecnología, como por ejemplo, la Inteligencia Artificial y el Big Data, que permiten mejorar de forma programada y autónoma la detección y prevención de amenazas complejas, así como su posterior eliminación o mitigación. Comparte características con un antivirus tradicional, como pueda ser la detección, identificación y la prevención de malware, exploits y, en algunos casos, ransomware, pero detecta amenazas más avanzadas, como malware de tipo polimórfico, vulnerabilidades 0-day, ataques de ingeniería social, amenazas persistentes o APT, cuentas comprometidas, etc. Una vez detectadas, actúa de forma inmediata, y casi automática, y elimina la amenaza o mitiga sus efectos.
• Utilizar protocolos que sean ciberseguros y cuenten con mecanismos de cifrado, como por ejemplo el protocolo HTTPS, en vez del HTTP.

El Instituto Nacional de Seguridad ha llegado a la conclusión de que, como cualquier otra nueva tecnología, esta no se libra de sufrir ciberataques, por eso es muy importante que se implante la ciberseguridad en este tipo de instalaciones.

La consulta pública de la CNMC no contempló la ciberseguridad en los puntos de recarga para vehículos eléctricos

En julio del presente año, la Comisión Nacional de los Mercados y la Competencia (CNMC) abrió una Consulta pública sobre infraestructuras de recarga para vehículos eléctricos, para elaborar un estudio sobre la recarga de este tipo de vehículos, así como el desarrollo y funcionamiento del mercado de prestación de servicios y de la infraestructura asociada. Hasta el 29 de septiembre, empresas, asociaciones, administraciones públicas, usuarios de vehículos, etc. han enviado sus comentarios y aportaciones.

La consulta pública abordó 30 cuestiones sobre la relevancia de las ubicaciones; el procedimiento administrativo y trámites innecesarios; procedimientos para obtener licencia, apoyo público; regulación; acuerdos privados; proceso de conexión y potencia; reparto de capacidad de acceso; competencia entre operadores y en el sector; sistema de reparto de costes; diferencia relevantes en el territorio español; accesibilidad y calidad de información sobre localización y disponibilidad; obstáculos técnicos y en la prestación; costes de instalación de puntos de recarga; dificultades en el uso de los puntos de recarga; procedimientos de pago; transparencia de las tarifas; estrategias comerciales de los proveedores. Sin embargo, no figuró ninguna sobre la seguridad en la carga de este tipo de vehículos frente a posibles ciberataques; es algo que no se tuco en cuenta y que ahora está generando ya problemas.

Las compañías de seguros ya contemplan seguros de ciberriesgo para vehículos eléctricos

Prácticamente, todas las entidades aseguradoras cuentan con seguros de ciberriesgo para los automóviles eléctricos o híbridos enchufables. El Grupo Catalana Occidente fue pionero en el mercado con el lanzamiento de su primera oferta específica para estos vehículos, en 2009, y ha explicado lo que incluye este tipo de seguro y sus principales coberturas (en su caso):

• Daños materiales derivados de accidente ocasionado por ciberataque.
• Daños ocasionados al cable de carga del vehículo y en la estación de carga propiedad del asegurado por actos vandálicos se indemnizan con hasta un máximo de 300€.
• En caso de robo o incendio de las baterías, se garantizan las mismas cuando existan también daños en el resto del vehículo.
• La indemnización de las baterías se realiza por su valor real. Incluido daños ocasionados por error al repostar combustible o por combustible en mal estado en caso de híbrido enchufable.
• En la asistencia en viaje, se cubre el remolcaje por falta de carga de la batería desde el kilómetro, 0 y ofreciendo la recarga in situ siempre que sea posible.
• En cuanto al vehículo de sustitución, los asegurados pueden disponer de un vehículo preferentemente con etiqueta Eco o 0.
• Servicio de ayuda para localizar puntos de recarga cercanos y si están en funcionamiento.