En los últimos cinco años, el coche eléctrico ha pasado de considerarse futurista y poco práctico a ser algo deseable, sobretodo si tenemos en cuenta la continua caída de precios, que hace que el número de ventas asciendauna  a 2 millones a principios de 2017, cifra que sigue en aumento.

Además, en contra de lo que pudiera parecer, la infraestructura de coches eléctricos se está desarrollando muy rápido, por lo que ya no es tan raro encontrar puntos de recarga por cualquier sitio. Sin embargo, como suele suceder en estos casos, los proveedores pretenden ganar lo máximo posible, sin pensar mucho en lo que pueda pasar después.... y es en este punto en el que tenemos que hablar de seguridad o, más bien, de inseguridad.

Es poco probable que un cargador eléctrico pueda hacer daño físico, sin embargo, puede afectar a la ciberseguridad. A pesar de haber puesto en práctica los conceptos básicos de "pagar y cargar", los proveedores no están muy preocupados por la integridad de tu dinero y tus datos personales.

Para llevar a cabo las transacciones en este ámbito, es necesario un sistema de facturación incorporado; de modo que antes de que puedas empezar a cargar la batería del coche, es necesario identificarte a través una tarjeta especial de comunicación de campo cercano Near Field Communication (NFC) asociada a tu cuenta.

La facturación se realiza como norma general a través del protocolo abierto de punto de carga del tipo Open Charge Point Protocol (OCPP), que regula las comunicaciones entre el sistema de facturación y el punto de recarga; y este último envía una solicitud para identificarte en el sistema de facturación, que lo aprueba y se lo comunica al punto de recarga... es entonces cuando la estación empieza la recarga.

El problema es que los proveedores de recarga facturan una vez al mes, por lo que si la cuenta del propietario del automóvil se ve comprometida mediante este método, no percibirán que algo va mal hasta que llegue la factura mensual. Otro asunto peligroso en el proceso es que la mayoría de las estaciones usan la versión del protocolo OCPP del 2012, una versión muy obsoleta basada en HTTP.

A través de esta información, es fácil acceder al usuario y a la contraseña que solicita el servicio OCPP y también a los números token de los usuarios anteriores, por lo que es relativamente fácil copiarlo. Y lo que es peor, si se modifican los datos de la unidad y luego se inserta el USB en el punto de carga, este último se actualizará automáticamente y considerará los datos en la unidad como su nueva configuración.

En resumen, los ciberdelincuentes pueden recopilar los números de identificación de las tarjetas, copiarlas y usarlas para realizar transacciones que pagarán los verdaderos titulares de las cuentas; además, también pueden retransmitir las solicitudes desactivando el punto de recarga y conseguir acceso a la raíz de la estación.