Seguridad y privacidad del sistema de rastreo ocular y análisis del pestañeo al volante

Sergio Álvarez, corresponsal de HackerCar, me escribía hace ya unos cuantos días para preguntarme, en calidad de experto del medio, si podía responderle a una serie de preguntas relacionadas con la obligatoriedad por parte de la Comisión Europea de que los nuevos vehículos, a partir de 2024, lleven sistemas de rastreo ocular y análisis de pestañeo al volante, con el fin de evitar descuidos e identificar los efectos del cansancio.

Estas fueron las preguntas que me pasó y las respuestas que le di, con lo que han preparado un artículo que puedes leer por aquí (ES).

¿Cómo puede un hacker malicioso acceder a la cámara que apunta a nuestra cara en el habitáculo de nuestro vehículo?

Sobre este tema ya nos pronunciamos en un artículo hace tiempo, y lo cierto es que no resulta para nada sencillo acceder a sistemas internos de un coche como puede ser este.

¿La razón? La mayoría de fabricantes han hecho los deberes, y todo opera en una suerte de sandboxing, de manera que si el cibercriminal (que no hacker) consigue acceder a uno de los sistemas, va a tener complicado pasar de él a otros, y viceversa.

Hay poca información al respecto de cómo tendrán que implementar este tipo de sistemas de identificación del cansancio en los conductores, pero la RGPD deja claro que:

• Los datos biométricos deben contar con medidas extra de seguridad para prevenir potenciales usos malintencionados.
• Estos únicamente se pueden recoger cuando es estrictamente necesario para el funcionamiento «core» del sistema.

Lo que quizás apuntaría, en este caso, a que el almacenamiento de esa información, que no debería ser identificativa de la persona sino puramente estadística (aunque en la práctica sea difícil separarlo, lo cierto es que el sistema para funcionar debe analizar variables cuantificables como el número de parpadeos, la inclinación de la cara con respecto al cuerpo… y no otros que podemos considerar identificativos como puede ser el reconocimiento de las facciones, el del iris…) se haría en local.

Y si así fuese (no hay compartición de datos fuera del vehículo), la única manera de comprometer el sistema sería mediante ataques dirigidos, si es posible hacerlo en remoto, o presencialistas, lo que minimiza bastante el riesgo.

¿Qué usos podría dar a las imágenes que recogiera? Es decir, ¿cuáles son los riesgos de ciberseguridad que entraña apostar por un sistema de estas características?

Pues los mismos de cualquier sistema que gestiona datos biométricos.

Una contraseña la cambiamos y listo.

Pero, sin ponernos «creativos», solo tenemos 10 huellas dactilares en las manos, dos ojos… y una sola cara.

En el momento en el que un cibercriminal roba nuestro patrón biométrico maestro, estamos vendidos, ya que no podemos simplemente cambiarlo por otro. Es algo INNATO en nosotros, y por tanto no intercambiable.

Afortunadamente, también es cierto que gestionar patrones biométricos es sensiblemente más complicado que hacerlo con contraseñas.

Y que, como decía, están obligados por ley a cumplir el reglamento europeo de protección de datos, y por ende, evitar registrar datos biométricos identificativos, y centrándose en lo que llamamos datos de métrica fisiológica.

¿Qué medidas podría tomar el usuario para evitarlo una vez que tiene este sistema en su coche?

El problema que le veo a todos estos acercamientos es que resulta muy pero que muy complicado sistematizar los patrones que hace una persona en particular cuando está cansada o distraída.

Ya por 2015 se publicó un estudio de la Universidad de Clemson (EN) que venía a constatar que intentar inferir el estado de somnolencia de un conductor por sus variables fisiológicas era más complicado que hacerlo por las propias variables de conducción.

Es decir, que antes de intentar identificar si ese giro del rostro se debe en efecto a que la persona tiene sueño, o que simplemente le pica la oreja, se puede constatar mejor su estado si analizamos, por ejemplo, cuántas veces ha rozado los límites de la carretera, y cómo está tomando las curvas.

¿Cuáles debería adoptar el proveedor de esta tecnología -es decir, en este caso, Affectiva en su producto-?

Pues el principal es hacer un estudio muy completo de los patrones asociados a estos estados peligrosos al volante, e implementar un sistema lo más equilibrado posible entre causa y efecto.

Se habla por ejemplo de que, de identificarse alguno de ellos, el sistema podría lanzar una alerta acústica. Algo que podemos considerar aceptable, pero, ¿dónde ponemos los límites?

¿Debe el sistema parar el motor en caso de que claramente identifique sueño en el conductor? Y de hacerlo, ¿con qué medidas de seguridad lo haría y bajo qué circunstancias? Que no es lo mismo que esto ocurra en una calle de ciudad, que en una autopista…

¿Estará el sistema sincronizado con los sistemas nacionales de emergencia en carretera, y/o con el tratamiento de datos de conducción que guarda el fabricante, y que podría acabar siendo revendido a terceros, por ejemplo, una compañía de seguros?

Además, por supuesto, debe tomar todas las medidas de seguridad oportunas para cumplir la RGPD. Y esto pasa no solo por securizar el sistema en sí (obviamente esto es necesario), sino como decía anteriormente, conseguir aislar y tratar métricas fisiológicas… sin almacenar y tratar datos biométricos.

Que puede parecer lo mismo, pero el diablo está en los detalles, y con los primeros la RGPD es bastante más laxa (al no considerarse identificativos de la persona) que con los segundos.

¿Sería posible engañar al software para que dejara de detectar que estamos cansados?

Obviamente sí.

Los sistemas de inteligencia artificial se basan en el análisis de patrones. Sabiendo qué patrones identifica, podemos eludirlos.

Habría que ver, por ejemplo, qué pasará cuando alguien viaja con gafas de sol, y como es mi caso, tiende a girar hacia un lado la cara (es una manía que tengo desde muy pequeño).

Que fíjate que lo que más me preocupa no es la posible tergiversación interesada del conductor, sino los falsos negativos y positivos que se desprenden de la heterogeneidad de situaciones y costumbres al volante.

¿Qué regulación propondrías para proteger al usuario de los riesgos de privacidad que plantea este dispositivo?

La misma que tenemos, que ya es clara con todo lo que tenga que ver con datos biométricos.

Siendo estrictos, un sistema así no necesitaría identificar al usuario, ni almacenar datos biométricos que pudieran servir para identificarlo.

Lo que necesita es tratar métricas fisiológicas, y la clave está en cómo separarlas (desanonimizarlas) lo suficiente como para que bien sea de forma directa, bien sea de forma indirecta mediante tergiversaciones de terceros, esas métricas no acaben siendo también identificativas de la persona.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.