Ciberseguridad de los coches: ¿Qué medidas deben implementar los fabricantes?

La normativa en vigor obliga a los fabricantes a contar con un sistema de gestión de la ciberseguridad de los coches y los camiones para prevenir incidentes de seguridad y limitar su impacto en caso de que se produzcan

La humanidad se encamina a cumplir un sueño que tienen muchas personas en el mundo: dejar de conducir. O, más bien, que sean los coches autónomos los que conduzcan por nosotros. Este escenario ya no es una quimera. Sin ir más lejos, Nvidia, la gran fabricante de chips, ha sellado recientemente acuerdos con fabricantes de automóviles como Hyundai o Nissan para el diseño de esta clase de automóviles.

La llegada de los coches autónomos ha puesto en el foco de la opinión pública la ciberseguridad de los coches y los camiones.

Lo cierto es que nuestros coches actuales, esos que aún conducimos nosotros, ya están plenamente digitalizados y, por lo tanto, es imprescindible que los fabricantes tengan en cuenta la ciberseguridad de los coches al diseñarlos y a lo largo de todo su ciclo de vida.

De hecho, los fabricantes ya tienen que cumplir con normas relacionadas con la ciberseguridad de los coches para poder homologarlos y comercializarlos.

En este sentido, destaca el reglamento nº155 de la Comisión Económica para Europa de la ONU y de aplicación en la Unión Europea. En esta norma se establece cómo deben ser los sistemas de gestión de la ciberseguridad de los coches, incluyendo la detección de vulnerabilidades y la implementación de medidas de mitigación.

A continuación, vamos a repasar cuáles son las medidas de ciberseguridad de los coches que los fabricantes deben implementar para garantizar un adecuado nivel de protección frente a los ataques.

Los fabricantes deben contar con un sistema de gestión de la ciberseguridad de los coches y los camiones

El reglamento nº155 establece que los fabricantes de coches, camiones, furgonetas y cuadriciclos deben poner en marcha un sistema de gestión de la ciberseguridad que:

1. Se aplique en la fase de desarrollo de los vehículos, su producción y durante la fase de posproducción.
2. Garantice un nivel adecuado de ciberseguridad de los coches y demás vehículos.
3. Garantice la mitigación de las ciberamenazas y las vulnerabilidades detectadas en los vehículos en un plazo razonable.
4. Sirva para llevar a cabo una detección continua de vulnerabilidades y ciberataques y se pueda responder a los incidentes de seguridad de manera proactiva.
5. Permita detectar riesgos vinculados a la cadena de suministro, gestionando «las dependencias que puedan existir con proveedores contratados, proveedores de servicios o suborganizaciones del fabricante».

Disponer de un sistema de gestión de la ciberseguridad de los coches con estas características es obligatorio desde el 1 de julio de 2024 a la hora de homologar nuevos vehículos. Mientras que para homologar tipos de vehículos anteriores a dicha fecha se debe demostrar que la ciberseguridad se tuvo en cuenta desde la fase de desarrollo.

Evaluación de los riesgos de ciberseguridad de los coches

Más allá del diseño e implementación de un sistema de gestión de la ciberseguridad, los fabricantes deben realizar una evaluación de riesgos exhaustiva para cada tipo de vehículo, teniendo en cuenta cuáles son sus elementos críticos.

Para llevar a cabo esta evaluación de riesgos de ciberseguridad de los coches se tienen que tener en cuenta:

1. Las especificidades de cada tipo de vehículo y las interacciones entre sus elementos.
2. Las interacciones con cualquier sistema externo.
3. Las amenazas que se ciernen sobre la ciberseguridad de los coches.

Gestión de los riesgos vinculados a la cadena de suministro

Igualmente, también se deben tener en cuenta los riesgos relacionados con los proveedores de software o hardware al realizar la evaluación de los riesgos de ciberseguridad de los coches.

Como ya apuntamos antes, uno de los objetivos de esta normativa es evitar ataques de cadena de suministro que puedan causar graves daños en los vehículos y afectar a las personas que los conducen o que viajan en ellos.

Esta cuestión es clave porque los fabricantes de vehículos tienen que integrar software desarrollado por diferentes proveedores y evaluar de forma continua que no presentan vulnerabilidades explotables por los actores maliciosos.

Como apuntan los expertos, un solo componente de software que sea vulnerable puede afectar al resto de la cadena de suministro y facilitar que el software de un vehículo sea atacado con éxito.

Implementación de medidas para mitigar los riesgos detectados en los vehículos

Los riesgos detectados a través de las evaluaciones deben ser subsanados. Así, la normativa exige a los fabricantes adoptar medidas de mitigación adecuadas frente a los riesgos de ciberseguridad de los coches.
El propio reglamento incluye diversas medidas adecuadas para mitigar riesgos. Por ejemplo, si los canales de comunicación permiten la manipulación de los datos el código del vehículo, se deben aplicar técnicas de control de acceso que permitan proteger los datos y el código del sistema.

Sin embargo, la norma también estipula que los fabricantes no deben limitarse a las medidas de mitigación que contiene, sino que, si estas no son suficientes frente a los riesgos detectados, se deben aplicar otras que sí resulten adecuadas.

Además, los fabricantes deben adoptar medidas adecuadas para garantizar entornos específicos seguros en los vehículos para almacenar y ejecutar:

• Software.
• Servicios.
• Aplicaciones.
• Datos de postventa.

Igualmente, se exige que antes de proceder a la homologación de un tipo de vehículo se lleven a cabo ensayos y pruebas que permitan verificar que las medidas de ciberseguridad de los coches son eficaces frente a los riesgos detectados.

Puesta en marcha de medidas para detectar y prevenir ciberataques contra los coches

Los fabricantes de vehículos están obligados a adoptar medidas que les permitan:

• Detectar y prevenir ciberataques contra los tipos de vehículos que fabrican.
• Incrementar su capacidad de detectar amenazas, vulnerabilidades e intentos de ataque contra los vehículos.
• Disponer de la suficiente capacidad forense como para tener datos que permitan analizar los intentos de ataque y los incidentes de seguridad sufridos.

Por lo tanto, la normativa sitúa a la respuesta a incidentes como un elemento clave de la estrategia de ciberseguridad de las compañías que fabrican vehículos de motor.

Notificación sobre amenazas, vulnerabilidades e incidentes

Los fabricantes también deben notificar, por lo menos una vez al año, a la autoridad de homologación de los vehículos:

1. El resultado de sus actividades de supervisión, detección y respuesta a ciberamenazas, vulnerabilidades y ciberataques.
2. La confirmación de que las medidas de ciberseguridad siguen siendo eficaces como consecuencia del surgimiento de nuevas amenazas. Además, en caso de que se hayan adoptado nuevas medidas, se deben indicar cuáles han sido implementadas.

La autoridad de homologación puede exigir a los fabricantes que subsanen cualquier deficiencia encontrada y si la notificación realizada y la respuesta ante requerimientos no son satisfactorias, puede proceder a retirar el certificado del tipo de vehículo afectado.

De ahí que sea crítico para los fabricantes de coches no solo contar con un sistema de gestión de la ciberseguridad de sus vehículos, sino también con una operativa que permita documentar todas las evaluaciones realizadas y las medidas implementadas.

Principales amenazas a la ciberseguridad de los coches

¿Y si un actor malicioso puede acceder a los datos GPS de un coche o identificarlo por una vulnerabilidad relacionada con su conexión Bluetooth? ¿Podría rastrear al conductor del vehículo y controlar todos sus movimientos?

La ciberseguridad de los coches no es una cuestión en absoluto menor. De hecho, entran en juego peligros relacionados con la privacidad, pero también con la propia integridad de las personas en caso de que se use la información sobre localización para realizar acciones contra ellas o se pueda acceder a información financiera almacenada en el sistema del vehículo. Habida cuenta de que muchos servicios que se ofrecen a los conductores funcionan a través de suscripciones.

La normativa sobre ciberseguridad de los coches lista 7 grades tipos de ciberamenazas:

1. Amenazas relativas a los servicios online del fabricante como gestión del historial de mantenimiento del vehículo. Por ejemplo, que se acceda al servidor backend de forma no autorizada mediante un backdoor o un ataque SQL.
2. Amenazas relacionadas con los canales de comunicación de los vehículos. Por ejemplo, falsificar los mensajes o datos que recibe el automóvil o enviar una ingente cantidad de datos inútiles al sistema para que no pueda prestar sus servicios de manera normal.
3. Amenazas ligadas a los procedimientos de actualización de software de los coches o camiones. Por ejemplo, denegar actualizaciones legítimas del software del vehículo o comprometer los procesos de actualización del fabricante.
4. Acciones realizadas involuntariamente por personas que facilitan los ciberataques. Por ejemplo, que el dueño del coche o un operario de mantenimiento cargue malware tras ser engañado.
5. Amenazas relacionadas con las conexiones externas de los vehículos. Por ejemplo, interferencia con sensores o sistemas inalámbricos.
6. Amenazas a los datos o al código del automóvil. Por ejemplo, acceder a información personal del dueño del vehículo e, incluso, a cuentas de pago o información sobre su ubicación o sus contactos.
7. Vulnerabilidades que podrían ser explotadas porque no son subsanadas o los mecanismos de protección son insuficientes. Por ejemplo, que se hace un uso insuficiente de algoritmos criptográficos para salvaguardar sistemas sensibles del vehículo.

Posibles consecuencias de los ciberataques contra vehículos de motor

El panorama de amenazas a la ciberseguridad de los coches que venimos de dibujar deja entrever claramente que las consecuencias de un ataque contra un vehículo pueden ser graves. En la propia normativa se apuntan 6 grandes consecuencias que deben tenerse en cuenta al analizar las amenazas y realizar las evaluaciones de seguridad de los vehículos:

1. Que el vehículo no funcione de forma segura.
2. Interrupción de alguna de las funciones del vehículo.
3. Modificación del software del coche y alteración de su rendimiento o que no llegue a afectar a su funcionamiento.
4. Violación de la integridad o de la confidencialidad de los datos del vehículo o de su propietario.
5. Que los datos no estén disponibles.
6. Otras consecuencias, entre las que destaca la delincuencia. Por ejemplo, el robo de un vehículo o de objetos guardados dentro de él.

Euro 7: Transmisión segura de los datos de emisiones y durabilidad de las baterías

Más allá del reglamento nº155, los fabricantes también deben tener en cuenta otras normas. En especial, el reglamento Euro 7 sobre emisiones de los vehículos.
Esta normativa europea exige que los fabricantes garanticen «la transmisión segura de los datos relativos a las emisiones y a la durabilidad de las baterías». Para ello, deben adoptar todas las medidas de ciberseguridad que hemos desglosado, ya que Euro 7 remite directamente al reglamento nº155.

Por lo tanto, los fabricantes deben asegurarse de que no es posible alterar de forma malintencionada los datos sobre emisiones y durabilidad de las baterías.

Esta norma será obligatoria a partir del 29 de noviembre de 2026 para los nuevos tipos de coches y los vehículos de transporte de mercancías (camiones, furgonetas…).

Qué servicios de ciberseguridad son claves para fortalecer la protección de los automóviles

A partir de lo que hemos ido desgranando sobre la ciberseguridad de los coches y otros vehículos de motor, podemos observar que los fabricantes necesitan contar con servicios de ciberseguridad que les permitan contar con un sistema de gestión de la ciberseguridad capaz de detectar riesgos, implementar medidas de mitigación, comprobar su eficacia y detectar y responder a incidentes de seguridad:

• Auditorías de seguridad continua para cada tipo de vehículo. Desde el diseño y a lo largo de todo su ciclo de vida, los vehículos deben ser auditados para detectar vulnerabilidades explotables por actores maliciosos. También es importante realizar evaluaciones de seguridad Bluetooth, habida cuenta de que los coches emplean este estándar para conectarse, por ejemplo, con nuestros móviles.
• Gestión de vulnerabilidades. Los fabricantes de vehículos tienen que llevar a cabo una gestión de las vulnerabilidades eficaz, priorizando la mitigación de los riesgos más graves y previniendo los incidentes de seguridad.
• Servicios de pentesting. Mediante los test de intrusión avanzados se puede comprobar si un vehículo es vulnerable, detectar las debilidades explotables y listar medidas de remediación adecuadas para subsanarlas con éxito. Además, también permiten evaluar la eficacia de las medidas ya implementadas.
• Respuesta a incidentes. Como hemos apuntado, la normativa exige a los fabricantes contar con mecanismos de detección y respuesta a incidentes. Los servicios de Incident Response proactivos realizan de forma continua medidas de preparación que les permiten actuar desde el primer momento, identificar el alcance del compromiso, expulsar a los actores maliciosos y limitar su capacidad de provocar daños graves en los vehículos y su operatividad.

En definitiva, la ciberseguridad de los coches es cada día más relevante y se ha convertido en una cuestión central a la hora de diseñar vehículos y darles mantenimiento durante todo su ciclo de vida.

Los avances tecnológicos que ya se han incorporado a los automóviles exigen que los fabricantes adopten medidas de seguridad robustas para garantizar el correcto funcionamiento del software de los vehículos y evitar incidentes que pueden comprometer la seguridad de las personas.