Las marcas deberán garantizar que sus coches están protegidos de los «hackers»
Naciones Unidas aborda este año los requisitos de ciberseguridad, protección de datos y actualizaciones periódicas
Dos hombres tienen la culpa de que desde 2015 los ingenieros y expertos que trabajan en el coche conectado no duerman tranquilos. Charlie Miller y Chris Valasek lograron aprovechar varias vulnerabilidades, a través de sistemas que parecían menores, para influir en aspectos clave de un vehículo, como manipular el volante, los frenos o el acelerador. Por fortuna, eran lo que se denomina «sombreros blancos», hackers buenos que penetraron simplemente para demostrar que podía hacerse.
Ambos sentaron un precedente que preocupa en un mundo con cada vez más vehículos conectados a internet y a las infraestructuras. Una conectividad que permite desde obtener música en streaming hasta datos del tráfico en tiempo real, o incluso dialogar con otros coches. Según un estudio de la consultora Juniper Research, en 2023 habrá 775 millones de vehículos conectados, con un crecimiento potencial anual superior al 18%. Los servicios conectados supondrán además un negocio de más de 265.000 millones al año.
«La nueva regulación que Naciones Unidas aprobará en 2020 obligará al fabricante a demostrar que controla la seguridad del vehículo en todas sus fases», explicaba Álex Palazón, experto en ciberseguridad de Seat, en el reciente IV foro de la movilidad e IoT. El coche, según describe Palazón, ha pasado de ser «un elemento aislado» a «un conjunto conectado con la infraestructura que hay que securizar». Por ello, «en la homologación clásica se va a incluir también la ciberseguridad, y no vamos a poder vender vehículos si nuestra compañía no puede certificar todas las fases del desarrollo». Un requisito además que obligará a que fabricantes y proveedores trabajen colaboren muy estrechamente.
Este febrero se reunirá el grupo de trabajo sobre vehículos automatizados, autónomos y conectados de la Comisión Económica para Europa (CEPE) , con representantes de las asociaciones OICA, FIA o CLEPA. Según los borradores de trabajo, se quiere que a partir de septiembre de 2022 los vehículos de nueva homologación con conectividad que se vendan en Europa requieran un certificado de ciberseguridad; y a partir de julio de 2024 cuenten con él todos los vehículos que se vendan en los concesionarios como nuevos. Además, los fabricantes habrán de tener un Sistema de Gestión de Seguridad Cibernética garantizado. Será obligatorio también que los vehículos puedan recibir actualizaciones periódicas. La adopción formal de los reglamentos de ciberseguridad y actualizaciones se espera para marzo, aunque el visto bueno definitivo sería en septiembre. Mientras tanto, la práctica SAEJ3061 intenta minimizar el riesgo de ciberataques, y está en camino de convertirse en un estándar internacional (ISO/SAE CD 21434).
El nuevo Reglamento europeo de Seguridad de los Vehículos –que entrará en vigor en 2022 y fija, por ejemplo, la obligatoriedad de las cajas negras– ya especifica que los fabricantes deben garantizar la « protección contra el uso no autorizado, incluidos ciberataques ». Más en detalle, argumenta que «la conectividad y la automatización de los vehículos aumentan la posibilidad de acceso remoto no autorizado a los datos del vehículo y de modificación ilegal de software por ondas». Por ello, pide que «a fin de tener en cuenta los riesgos inminentes que de ello se derivan, se deben aplicar de forma obligatoria lo antes posible después de su entrada en vigor los reglamentos de CEPE u otros actos en materia de ciberseguridad».
Además, el reglamento europeo afirma que «las modificaciones de software pueden cambiar de forma significativa las funciones del vehículo. Se deben establecer normas y requisitos técnicos armonizados para las modificaciones de software en consonancia con los procesos de homologación». Se recalca también que «estas medidas de seguridad no deben comprometer las obligaciones de los fabricantes de proporcionar acceso a información de diagnóstico y datos del vehículo para su reparación y mantenimiento».
Igualmente es vital asegurar la interacción con la infraestructura, «que debe ser fiable e inalterable, porque el vehículo toma decisiones en base a ella», según resalta Álex Palazón, de Seat. Los expertos resaltan que los sensores de un vehículo pueden, por ejemplo, interpretar una señal de Stop pintarrajeada como un límite de velocidad, lo que le llevaría a acelerar en lugar de frenar. «Sería una acción criminal», dice Palazón. Por otro lado, como indicó Ángel Pérez, responsable de seguridad informática de Autopistas –que ya ha hecho pruebas con vehículos autónomos en Gerona, en el marco del proyecto Inframix–, «cuando hablamos de ciberseguridad pensamos en hackers, pero el gran reto son los accidentes». Según el experto, el vehículo autónomo tiene el potencial de reducir un 90% las víctimas de accidentes de tráfico. «El mensaje debe ser de bienvenida a la tecnología, porque va a salvar vidas, pero para ello hay que dar confianza», afirmó también en el IV foro de la movilidad e IoT.
Noticias relacionadas
