¿Puede sufrir mi coche un ciberataque?

La entrada del nuevo año 2021 ha traído consigo una nueva normativa de la ONU que obligará a los vehículos a poseer un certificado de ciberseguridad que evitará que los vehículos conectados y los autónomos sean atacados, una acreditación que hasta el momento sólo será emitida por la única empresa capacitada para ello en todo el mundo, la española Eurocybcar.

La nueva normativa ONU/UNECE WP.29 afecta a coches, autobuses, camiones, autocaravanas y remolques, y será aplicada inicialmente por la Unión Europea, Japón y Corea del Sur, en cuyos territorios no podrán ser comercializados vehículos que no cuenten con el certificado que acredite que están protegidos contra ciberataques.

En el caso de que los fabricantes pongan a la venta en la Unión Europea un vehículo que no cumpla con dicha normativa se enfrentarán a sanciones de hasta 30.000 euros por vehículo.

Así, con esta normativa, se cerrará el mercado de la Unión Europea a vehículos que no sean ciberseguros, lo que ocurrirá a partir de el 1 de julio de 2022 para los coches, autobuses, camiones, furgonetas y remolques de nueva homologación y para todos los nuevos a partir del 1 de julio del 2024. Para obtener el certificado de ciberseguridad, la ONU exige que el vehículo cumpla con 70 requisitos, que una entidad externa al fabricante debe acreditar.

La normativa no indica qué tipos de prueba se deben realizar, pero en España existe una empresa que dispone del único test en el mundo que evalúa si el vehículo cumple con la norma ONU/UNECE. Esta evaluación técnica de ciberseguridad se realiza con el test EUROCYBCAR, que se lleva a cabo en un laboratorio ubicado en Vitoria-Gasteiz, sede de la empresa Eurocybcar, cuya consejera delegada, Azucena Hernández, califica la nueva normativa de drástica pero muy necesaria, porque los vehículos son grandes ordenadores sobre cuatro ruedas y deben protegerse, como mínimo, igual que se protege un móvil o un portátil.

Las consecuencias de que no estén bien ciberprotegidos pueden ser trágicas: basta con que una persona introduzca en el puerto USB de su coche un pen drive con música que se ha descargado de internet, -sin saber que también lleva un virus o un malware que puede infectar el vehículo- para provocar que el motor del vehículo se pare o desconecte el sistema de frenada de emergencia, por ejemplo, explica Azucena Hernández.

Llevamos años concienciando a instituciones y empresas en España y en Europa para que la “cybersecurity by design” sea la base de la movilidad cibersegura del futuro y la ONU/UNECE “nos ha dado la razón” con esta normativa que ha entrado en vigor el 1 de enero de 2021 y que obligará a los fabricantes de vehículos a incorporar la ciberseguridad desde la fase de diseño e, incluso, en sus sistemas de gestión, concluye la CEO de Eurocybcar, empresa que ha participado en el desarrollo de la normativa de ONU/UNECE WP.29.

La normativa obedece al hecho de que os vehículos se han ido haciendo más complejos desde el punto de vista tecnológico, hasta el punto de que el software que equipa un coche moderno de gama media se compone de unos 100 millones de líneas de código y ello significa que los sistemas informáticos de un automóvil actual son más complejos que los de un caza de combate F35, con 24 millones de líneas de código; el sistema operativo Windows Vista, con 50 millones, o que todo el software que emplea Facebook, con 62 millones.

Esta complejidad tecnológica ha llevado a que los automóviles empiecen a sufrir ciberataques. Según datos de Eurocybcar, desde 2012 se han documentado ataques a modelos de más de 43 marcas en todo el mundo, que afectaron a modelos de 43 marcas diferentes y comprometieron la privacidad de las personas que viajaban a bordo de esos vehículos e, incluso, supusieron un peligro para su vida.

Con la nueva normativa, cada año se verán afectados en Europa, Japón y Corea del Sur, alrededor de 22 millones de automóviles. Lo que supone que el el 25% de los que se venden en el mundo estarán sometidos a esta garantía contra los ciberataques. Eurocybcar, que ya está realizando test para algunos fabricantes y para las administraciones de la Unión Europea y de España, es una empresa integrada por hackers, investigadores, ingenieros expertos en Seguridad, probadores de coches y expertos en legislación.