Estás leyendo
Los coches estarán obligados a contar con un certificado de ciberseguridad

Los coches estarán obligados a contar con un certificado de ciberseguridad

Durante los últimos años, los vehículos se han ido haciendo más complejos desde el punto de vista tecnológico (se calcula que el software que equipa un coche moderno de gama media se compone de unos 100 millones de líneas de código). Esa ‘informatización’ de los vehículos ha posibilitado que equipen tecnologías que permiten conectarlos con otros dispositivos como por ejemplo, con un smartphone (a través del Bluetooth, de un cable USB o de una aplicación móvil), o a Internet (a través de un punto Wifi instalado en el interior del propio coche). Todo esto ha dado paso al concepto de “coche conectado“, de los que se estima que para 2023 circulen un total de 773 millones, una definición que la Sociedad de Tecnología Vehicular (VTS, por sus siglas en inglés) define como aquel que equipa aplicaciones, servicios y tecnologías que lo conectan con su entorno. A éstos, hay que sumar los vehículos autónomos que equipan un software más complejo, cuyo número también van a ir aumentando (se estima que en 2026 circularán 50 millones de automóviles sin conductor).

 

 

 

Pero esa creciente complejidad tecnológica de los automóviles ha hecho que los vehículos empiecen a sufrir “ciberataques” que comprometen la privacidad de las personas que viajan a bordo de esos vehículos e, incluso, son un peligro para su vida, según datos de EUROCYBCAR, que desde el año 2012 han documentado ataques a modelos de más de 43 marcas en todo el mundo. Hasta ahora, los diversos gobiernos y organismos reguladores de todo el mundo habían creado normativas que garantizasen la seguridad física de los vehículos y sus pasajeros, pero la ciberseguridad había quedado fuera de esos marcos reguladores. Para dar solución a esa nueva amenaza, el pasado el 1 de enero entró en vigor la normativa ONU / UNECE WP.29, que obliga a los vehículos a contar con un certificado de ciberseguridad. Fruto de esta normativa, en la Unión Europea, deberán cumplirla todos los vehículos que se homologuen a partir de julio de 2022 y a partir del 1 de julio de 2024 todos los vehículos nuevos que se vendan.

 

Durante los últimos años, los vehículos se han ido haciendo más complejos desde el punto de vista tecnológico (se calcula que el software que equipa un coche moderno de gama media se compone de unos 100 millones de líneas de código)

 

Al igual que nuestros ordenarores, los “coches conectados” deben protegerse de ciberataques

 

Para lograr el certificado de ciberseguridad, los fabricantes deberán demostrar que sus modelos están protegidos frente a 70 amenazas divididas en 7 categorías:

  • AMENAZAS RELACIONADAS CON LOS SERVIDORES BACK-END: Estos servidores son los que hacen que funcione todo el sistema informático de los vehículos o las redes informáticas internas del fabricante. Se deberán evitar, entre otras amenazas, pérdidas de información en la nube, filtraciones de información por compartir datos de forma involuntaria y que un trabajador haga un uso ilícito de los datos a los que tiene acceso.

 

  • AMENAZAS RELACIONADAS CON LOS CANALES DE COMUNICACIÓN QUE USA EL VEHÍCULO PARA CONECTARSE CON SU ENTORNO: Se deberán evitar, entre otras amenazas que pueda suplantar la identidad de otros vehículos, inyectar malware (programas que dañan los sistemas informáticos) por los canales de comunicación y manipular o eliminar los datos y códigos del software del vehículo.

 

  • AMENAZAS A LAS CONEXIONES Y CONECTIVIDAD EXTERNA: Se deberán evitar, entre otras amenazas, la manipulación de funciones remotas, como la llave, el inmovilizador y la batería; manipular las conexiones telemáticas del vehículo, como la medición de la temperatura de la mercancía en vehículos industriales o desbloquear las puertas de forma remota; así como causar interferencias en los sistemas inalámbricos de corto alcance o sensores.

 

  • AMENAZAS A LOS DATOS/CÓDIGO DEL VEHÍCULO: Se deberán evitar, entre otras amenazas, que se pueda acceder sin deber a la información privada del propietario (quién es, su cuenta bancaria, ubicación, identificación electrónica del vehículo), falsificar la identidad o manipular datos del vehículo (kilometraje, velocidad de conducción, enviar mensajes falsos e indicaciones al conductor, etc).

 

Ver también
Michelin y ProovStation crean un sistema para la inspección de neumáticos

  • AMENAZAS RELACIONADAS CON LOS PROCEDIMIENTOS DE ACTUALIZACIÓN DE LOS VEHÍCULOS: Se deberá de evitar cualquier tipo de amenaza que afecte a los procesos de actualización de los sistemas informáticos de los vehículos, ya sea que se lleven a cabo de forma inalámbrica (Over The Air) o mediante una descarga.

 

  • AMENAZAS RELACIONADAS CON ACCIONES HUMANAS NO INTENCIONADAS: Se deberán de evitar, entre otras amenazas, que alguien con acceso al vehículo (como el propietario o un mecánico) pueda introducir un virus de forma involuntaria si lo engaña un ciberdelincuente.

 

  • POSIBLES AMENAZAS QUE PODRÍAN EXPLOTARSE SI NO SE PROTEGEN O REFUER-ZAN LO SUFICIENTE: Se deberán de evitar, entre otras amenazas, fallos de software, que la información del primer propietario del vehículo pase al segundo dueño (en caso de venderse en el mercado de ocasión), o que se reemplacen elementos del vehículo que cumplan con la norma por otros que la incumplan.

 

 

En el caso de que algún fabricante ponga a la venta en la UE un vehículo que no cumpla con la normativa ONU / UNECE WP.29 o se demuestre que engañaron a la entidad autorizada para obtener el certificado de manera irregular, se enfrentaría a sanciones de hasta 30.000€ por vehículo y se podría retirar o suspender la homologación de los modelos afectados, lo cual impediría que se pudiesen vender.