Telemática en los coches: El puerto OBD y el camino por recorrer

Glenn Atkinson, Vicepresidente de Seguridad de Productos en Geotab, nos habla de la regulación y seguridad de los datos en la industria del vehículo inteligente.

Actualmente, todos los automóviles con motor de combustión que se venden en Europa y Norteamérica deben incluir el puerto OBD (Diagnóstico a Bordo), que proporciona un acceso abierto a los datos del vehículo. Aunque al principio se diseñó con el fin de obtener los datos de emisiones, su uso se amplío enseguida para añadir avances de conectividad que facilitaran el uso de aplicaciones comerciales de gestión de flotas. Esto ha llevado a un aumento de la seguridad por la posibilidad que tiene el conductor de mejorar su comportamiento en tiempo real, y por la posibilidad de un mantenimiento predictivo del vehículo, ahorro de combustible, disminución de las emisiones y una gestión de flotas más eficiente. Además, el acceso a este gran conjunto de datos de vehículos será esencial para integrar los beneficios de la movilidad y las ciudades inteligentes.

En paralelo, se ha escrito mucho sobre la necesidad de la seguridad en los proveedores de IoT en general, para que incluyan medidas de seguridad adecuadas y se luche contra la ciberdelincuencia. Es cierto, por un lado, que algunos proveedores de dispositivos OBD no están de acuerdo con la necesidad de abordar la seguridad de su dispositivo. Pero también lo es que no son solo las terceras partes las que deben intensificar sus esfuerzos en materia de seguridad: también se ha demostrado que los fabricantes de vehículos tienen vulnerabilidades de seguridad sin la presencia de un dispositivo de terceros (caso del Jeep Cherokee hackeado, 2015). La seguridad es, por tanto, una responsabilidad compartida entre todo el ecosistema del vehículo: el acceso a los datos del vehículo y la comunicación pueden, y deben, estar protegidos.

La regulación de la telemática del automóvil

Las leyes funcionan razonablemente bien para sistemas sencillos que no cambian mucho con el tiempo (por ejemplo, velocidad máxima en la carretera, infracciones de tráfico, etc.). Sin embargo, no pueden mantener el ritmo de los sistemas complejos y dinámicos que cambian rápidamente, como el vehículo conectado. El nivel de seguridad es generalmente tan fuerte como su eslabón más débil: es una responsabilidad de “extremo a extremo”; desde la generación de datos por parte del vehículo, la comunicación de datos a la nube, las APIs, hasta la interfaz del usuario final.

Para dar solución a esto, recientemente han aparecido conceptos que evitan el acceso de terceros a los datos del vehículo alegando motivos de seguridad y que podrían crear un muro de pago donde los usuarios finales tendrían que pagar por el acceso a sus propios datos de vehículo y además no podrían elegir quién les provee los datos. Para preservar la libre competencia y el poder de elección del cliente, se requiere una alternativa que complemente este tipo de propuestas permitiendo un acceso seguro de terceros a los datos.

Una de las principales razones es que, además, los sistemas más seguros son también los más transparentes en la forma en la que están estructurados. Un sistema abierto lo ve y lo utiliza mucha gente; a través del uso y la “investigación” se descubren fallos y vulnerabilidades, que se comparten y se corrigen con parches. Los sistemas cerrados, sin embargo, los utilizan solo unos pocos, las vulnerabilidades y los errores pueden permanecer inactivos durante largos períodos de tiempo y, por ende, generalmente se consideran menos seguros.

A esto se une que el uso de sistemas cerrados tiende a dar lugar a monopolios, con una única empresa dando un servicio y tendiendo por tanto a precios más altos y a una calidad peor, frente a un entorno abierto y competitivo. Por lo tanto, los intereses de los usuarios finales de los vehículos parecen estar mejor atendidos con un ecosistema de transporte abierto, competitivo y continuo, en lugar de en uno de vehículo cerrado.

Es cierto, al mismo tiempo, que es imprescindible usar un sistema seguro para comunicarse con el vehículo, bien se trate de un tercero o del propio fabricante. Y sí, esto requiere más recursos para diseñar la seguridad del sistema, pero es un caso similar al del aumento de los costes para diseñar una seguridad razonable en el coche en sí o para asegurar que las emisiones ambientales estén dentro de los límites reglamentarios y aspiren a cero. Ninguno de estos argumentos es motivo para imponer un monopolio sobre el acceso a los datos en el vehículo.

Lo que realmente se requiere es un conjunto de principios que no solo cubran la seguridad de la movilidad inteligente y cumplan con los requisitos y regulaciones de privacidad en varias jurisdicciones, sino que también sean representativos de todos los implicados en el ecosistema de vehículos conectados. Nosotros abogamos por el concepto de “Neutral Vehicle”, que proporciona capacidades de gestión no solo a los gerentes de flotas comerciales, sino que también funciona bien para los fabricantes de vehículos y otros servicios independientes que han evolucionado y se han desarrollado en torno al acceso abierto a los datos de los vehículos. También creemos firmemente que los sistemas “abiertos” son más propicios para la innovación que los sistemas cerrados, y que la plena realización del vehículo conectado será una de las innovaciones más transformadoras del transporte que jamás se haya producido. Resulta extraño que en un punto de inflexión histórico se imponga un enfoque cerrado y monopólico.

En Geotab sabemos que implementar la seguridad es un viaje, no un destino, por lo que estamos avanzando junto con otras partes interesadas en el concepto de vehículo neutral (“Neutral Vehicle”). Este concepto no pretende ser una amenaza para ningún otro sistema de datos del vehículo “abierto” o “neutral”, sino que es un medio para consolidar algunos asuntos básicos de buena gestión en torno a la seguridad y la privacidad, con la intención de ofrecer a los usuarios finales la garantía de que recibirán acceso a los últimos servicios de movilidad en una plataforma construida sobre la base de la seguridad y privacidad de datos.