Etiquetas

, ,

Artículo publicado por John Villasenor el 4 de septiembre de 2015 en UCLA

Los ciberatacantes tendrían la carga principal, pero los fabricantes y propietarios podrían también enfrentarse a cierta responsabilidad.

El mes pasado, Wired publicó un informe en el que describían cómo los investigadores en seguridad Charlie Miller y Chris Valasek fueron capaces de hackear de forma inalámbrica un Jeep Cherokee. Tras controlar inicialmente el sistema de entretenimiento y los limpiaparabrisas, luego desactivaron el acelerador. Incluso más grave, Miller y Valasek también desactivaron sin necesidad de cables los frenos del Jeep, dejando a Andy Greenberg, el escritor de Wired que estaba al volante, “pisando frenéticamente el pedal dado que el monovolumen de 2 toneladas se dirigía incontrolablemente hacia una zanja”. Unos días más tarde, Fiat Chrysler Automobiles anunció una retirada que afectaba a 1,4 millones de vehículos.

LTE Connected Car 114

LTE Connected Car 114

Esta vulnerabilidad concreta, presumiblemente, se corregirá con rapidez, pero dada la imprudente carrera entre los fabricantes de automóviles por tener a sus vehículos “conectados”, es probable que se descubran otros agujeros de ciberseguridad, algunos de los cuales podrían permitir a los ciberatacantes tomar el control del vehículo desde Internet y provocar un accidente. Y, si esto sucede, ¿quién tiene la responsabilidad?

Existen tres grandes grupos que potencialmente podrían ser responsables: los ciberatacantes, las compañías implicadas en la fabricación y venta del vehículo y, bajo ciertas circunstancias, el propietario del automóvil.

Por supuesto, la culpa directa recae sobre los ciberatacantes. Si actúan intencionadamente para impedir el normal funcionamiento de un vehículo y terminan causando, involuntariamente o no, un accidente, se enfrentarían tanto a un procedimiento criminal como a una responsabilidad civil. Pero hallar a los ciberatacantes en tal situación podría ser difícil, especialmente si han ocultado cuidadosamente sus huellas. Además, incluso si se pudiese hallar a los atacantes, podrían estar en otro país, lo cual complicaría aún más los esfuerzos por buscar compensación o acusación.

Las compañías implicadas en la fabricación y distribución del vehículo con el fallo de ciberseguridad, también podrían ser responsables. Aunque la idea de colisiones de vehículos provocadas por un ciberataque es nueva, la ley de responsabilidad de productos, que proporciona el marco para buscar remedios cuando un producto defectuoso (o falsedades sobre un producto) provocan daño a personas o propiedades, está ampliamente establecida. Los heridos en el accidente podrían buscar remuneración por daños y perjuicios bajo múltiples teorías de responsabilidad, incluyendo negligencia, defectos de fabricación, defectos de diseño, falsedad, infracción de la garantía y falta de aviso al usuario.

No obstante, es otro tema aparte el hecho de si las víctimas prevalecerían en una reclamación sobre responsabilidad de producto. Los fabricantes rápidamente podrían poner a trabajar a sus abogados cuando se identifiquen vulnerabilidades de seguridad en un vehículo. Una pista de que esto sucedería se hizo visible en el anuncio de retirada del 24 de julio por parte de Fiat Chrysler Automobiles. “No se ha encontrado ningún defecto”, afirmaba dudosamente FCA en respuesta al artículo de Wired. Además, FCA escribió que el hackeo “requería de un conocimiento tecnológico amplio y único, un prolongado acceso físico al vehículo y amplios periodos de tiempo para escribir el código”. El mensaje que se pretendía dar era: encontrar y aprovechar tal vulnerabilidad implicaría un nivel tan alto de sofisticación que no había una forma razonable de que FCA lo hubiese previsto o evitado de antemano, y no podría ser responsable por ningún daño que pudiera dar como resultado.

Un jurado en un juicio sobre responsabilidad de productos podría ser escéptico. Si los frenos pueden desactivarse por alguien que esté a kilómetros de distancia quien simplemente pulsa un botón en un teclado, es difícil defender seriamente que no hay ningún error presente.

Por último, bajo algunas limitadas circunstancias, el propietario del vehículo podría estar expuesto a cierta responsabilidad. Si el propietario no era consciente de la vulnerabilidad incluso después de que se solicitase la retirada, probablemente no habría responsabilidad, después de todo muchos propietarios podrían no recibir, o nunca llegar a leer, un aviso sobre la retirada. Pero imagina a una persona herida en el accidente que pudiese demostrar que se había advertido específicamente al propietario del problema, y de una forma simple y sin coste de solucionarlo, y aun así deliberadamente había decidido no hacer nada. Tal como me comentó en un correo electrónico John Edwards, representante legal sobre responsabilidad de productos en Hinman and Carmichael LLP,: “si una persona recibe un aviso de retirada acerca de un defecto de seguridad que puede llegar a tener un peligro potencial para otros, y lo ignora, ciertamente podría ser responsable bajo la base de una reclamación por negligencia”. El mismo principio, añade Edwards, aplicaría no sólo a los defectos de seguridad tradicionales de los vehículos, sino también a los fallos de ciberseguridad potencialmente peligrosos.

Sería genial pensar que los problemas de responsabilidad de un accidente de circulación generados por un ciberataque nunca se pondrán a prueba en un juzgado. Pero, por desgracia, es improbable que las cosas se desarrollen de esta manera. De forma más realista, lo mejor que podemos esperar es que dichos accidentes tengan como resultado unos daños mínimos, y que los fabricantes redoblen sus esfuerzos, que claramente han sido insuficientes, para asegurar que los coches conectados no pueden conectarse a los ciberatacantes.

Anuncios