La ciberseguridad de los vehículos

La ciberseguridad de los automóviles y vehículos industriales del futuro es un tema muy relevante a tener en cuenta, sobre todo debido a la cada día mayor sofisticación tecnológica de los vehículos, su electrificación y su sistema autonómico. Dentro de nada habrá vehículos que puedan realizar trayectos sin conductor - de reparto, de transporte de viajeros o simplemente en el coche autónomo privado, sistemas que precisan una gran protección ante cualquier tipo de posibilidad de hackeo. ¿Se puede imaginar un hackeo masivo de distintos coches autónomos para que se accidenten? También ya hoy día habría ya posibilidades de recibir malware en los coches, ya que son ordenadores con ruedas, simplemente por ejemplo realizando los chequeos en las revisiones de los automóviles, que se suelen realizar conectándose al ordenador de abordo para saber que piezas o componentes están a punto de fallar.

A continuación el comunicado de prensa que sobre este tema nos facilita la empresa española Eurocybcar, ubicada en Vitoria-Gasteiz

Comunicado de Prensa:

La normativa ONU / UNECE WP.29, que obliga a los vehículos a contar con un certificado de ciberseguridad, ha entrado en vigor el 1 de enero de 2021. Será de obligada aplicación en todos los países de la Unión Europea y afectará a coches, furgonetas, autocaravanas, camiones y autobuses. También a los vehículos ligeros de cuatro ruedas si están equipados con funciones de conducción automatizada a partir del nivel 3 y a los remolques si están dotados con, al menos, una unidad de control electrónico.

En la UE, deberán cumplirla los vehículos que se homologuen a partir de julio de 2022, obligación que se extenderá a todos los vehículos nuevos que se vendan en este territorio a partir del 1 de julio de 2024.

Para lograr el certificado de ciberseguridad, los fabricantes deberán demostrar que sus modelos están protegidos frente a 70 vulnerabilidades. Ese listado de riesgos a evitar incluye posibles ciberataques durante el desarrollo, producción y posproducción del vehículo, por lo que aquellos modelos que logren el certificado estarán protegidos a lo largo de todo su ciclo de vida. Además, se especifica que debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo analizado cumple esos requisitos.

En el caso de que algún fabricante ponga a la venta en la UE un vehículo que no cumpla con la normativa ONU / UNECE WP.29 o se demuestre que engañaron a la entidad autorizada para obtener el certificado de manera irregular, se enfrentaría a sanciones de hasta 30.000€ por vehículo y se podría retirar o suspender la homologación de los modelos afectados -lo cual impediría que se pudiesen vender-.

La normativa no detalla qué medidas deben tomar los fabricantes para hacer frente a esas 70 amenazas. Tampoco indica qué tipo de pruebas se deben realizar para saber si un vehículo puede obtener el certificado APTO de ciberseguridad.

Por suerte, ya existe una empresa que dispone de un test que evalúa si un vehículo cumple con los requisitos de esa normativa: EUROCYBCAR. Las pruebas se realizan en un laboratorio ubicado en Vitoria-Gasteiz, donde hackers, ingenieros IT, probadores de coches y QTester llevan realizando, desde hace años, la evaluación técnica de ciberseguridad -el Test EUROCYBCAR- a vehículos de organismos públicos y OEMs.

Una vez que el vehículo se ha sometido al protocolo de pruebas del Test EUROCYBCAR y lo ha superado -es APTO- se le concede un certificado de ciberseguridad y se le otorga un “sello” con una nota que va del tres al cinco. Cuanto más alta resulte, significará que el coche analizado dispone de un mayor nivel de protección; es decir, que “será una garantía de que protege los datos y privacidad del usuario así como la vida de quienes viajan a bordo”.

Para Azucena Hernández, CEO de EUROCYBCAR, esta regulación es drástica, pero muy necesaria: “los vehículos son grandes ordenadores con ruedas y deben protegerse, como mínimo, igual que se protege un móvil o un portátil”. La CEO explica que “las consecuencias de que no estén bien ciberprotegidos pueden ser trágicas, no sólo a causa de un ciberataque premeditado, sino por un mal uso del propio usuario: puede producirse por algo tan sencillo como descargar música de una web de Internet en un pendrive, conectar ese pendrive al puerto USB de nuestro coche y que al hacerlo estemos introduciendo en realidad, y de forma inadvertida, un virus o un ‘malware’ que bloquee el sistema operativo del vehículo, provocando que el coche se pare por completo mientras circula, con el riesgo que eso podría conllevar”.