La nueva era de la conducción inteligente será cibersegura o no será
A partir de este verano, los nuevos vehículos homologados deben contar con un certificado que acredite que son inmunes a ciberataques
130 segundos. Ese es el margen de tiempo que queda completamente expuesto un coche Tesla a cualquier dispositivo NFC (comunicación de campo cercano). En ese lapso, cualquier intruso informático puede vincularse al vehículo para, posteriormente, manipular sus funciones a su antojo. Así quedó demostrado a principios de junio, cuando un investigador en seguridad austriaco, Martin Herfurt, puso a prueba el último software equipado en la flota de la compañía.
El experto desarrolló una aplicación móvil basada en la misma estructura que la oficial, con la que consiguió conectarse al coche sin conocimiento de su propietario. Era un ejemplo real, pero Herfurt, a través del móvil, pudo desbloquear, abrir y llevarse sin problema el Tesla.
Este es uno de los ejemplos más recientes de cómo la ciberseguridad será un aspecto crítico en el desarrollo y la construcción de vehículos. Los fabricantes ya se mueven en esta dirección. La Comisión Económica de Naciones Unidas para Europa (Unece, por sus siglas en inglés) aprobó en marzo de 2021 dos normativas internacionales sobre ciberseguridad en automóviles.
La primera (UN R155) obliga a que cualquier coche que se homologue en los mercados europeo, japonés y coreano a partir de julio de 2022 cuente con un certificado que confirme que es ciberseguro. Para dentro de dos años, todos los vehículos tendrían que obtener dicha acreditación. Si no la tienen, su venta estará prohibida. Mientras que la segunda (UN R156) hace referencia al software: este deberá actualizarse periódicamente para evitar vulnerabilidades.
Julio de 2024 es la fecha límite para que los coches nuevos cumplan la normativa
“La seguridad en el vehículo está compuesta de dos ámbitos principales, la privacidad de los datos del usuario y la seguridad de los componentes del vehículo, que, queramos o no, está conectado y cada día que pase lo estará más”, pone en contexto Sergi Gil, socio de ciberseguridad de KPMG España.
Como los ciberriesgos afectarán en su mayor parte al software, que este se mantenga actualizado es vital. “Este puede ser proclive a fallos de seguridad, no tanto cuando se libera, sino a lo largo del tiempo”, advierte, por su parte, el investigador sénior en seguridad de Kaspersky, Marc Rivero.
Las marcas empiezan a cerrar alianzas con proveedores de cortafuegos
Este último experto, miembro también del equipo de análisis e investigación global (GReAT, por sus siglas en inglés) de la multinacional, apunta a las aplicaciones desarrolladas por terceros como una de las posibles vías preferidas para cometer estos ciberataques. De ahí que abogue por el establecimiento de protocolos (realizar una evaluación de riesgos, implantar una filosofía de desarrollo seguro…) para que, en última instancia, el fabricante valore si permite o no que una aplicación externa se integre en su flota.
A medida que entran en vigor normativas como la obligación de incorporar, antes de julio de 2024, sistemas de asistencia inteligente a la velocidad (ISA) en los coches nuevos que se vendan en el mercado europeo, para limitar la velocidad máxima a la permitida en una determinada vía, Rivero incide en que los fabricantes necesitarán una mayor “cultura de la ciberseguridad”. Esto se traduce, por ejemplo, en el diseño de hojas de ruta en la que se compruebe en cada fase de desarrollo si el software es vulnerable o no.
Puntos de inflexión en el futuro del sector
Alemania. El país exige desde hace unos años a todos sus fabricantes de vehículos y proveedores, en especial a los de componentes, que cumplan con unos mínimos de seguridad (Tisax y Unece). Según KPMG, el que el sector en España vaya al mismo ritmo de la tecnología dependerá de las ayudas que reciban las compañías.
Datos. Desde mayo de 2018 está vigente en la Unión Europea el Reglamento General de Protección de Datos (RGPD). Será la referencia para los fabricantes de cara a garantizar la seguridad de los datos personales de los usuarios finales, con importantes sanciones si incurren en algún incumplimiento en el desarrollo o la cadena de suministro.
Hardware. Las piezas que componen los coches no parecen ser el principal objetivo de un ciberataque. No obstante, también son susceptibles a las amenazas y, como señalan desde Kaspersky, un pirata informático podría modificar el tamaño de alguna pieza o que esta no funcionase en su totalidad.
Formación. Ya están apareciendo los primeros cursos online para que fabricantes de vehículos y componentes conozcan al detalle las recientes normativas internacionales sobre ciberseguridad. Los programas se dirigen también a otros actores del sector, como los concesionarios, los talleres o las aseguradoras, claves en aplicar la nueva cultura de la ciberseguridad.
