¿Coches ciberseguros? Un nuevo reglamento los protegerá de los hackers

¿Podrían manipular, desde la distancia, los frenos de tu coche, el equipo de audio o el airbag? La respuesta es sí. Y mucho más. Podrían robar tus datos, espiarte, chantajearte, secuestrarte, darte información falsa mientras conduces... Lo único que hace falta es que tu vehículo tenga algún punto de conexión: bluetooth, neumáticos con sistema de monitorización de la presión (obligatorio en coches nuevos desde noviembre 2014), llamada de emergencia eCall (obligatoria desde 2018), airbags, llave inteligente, GPS, radio-RDS o, si es más moderno, USB o WiFi. ¿Están nuestros coches protegidos ante los hackers? ¿Son los coches ciberseguros?

Los fabricantes han iniciado una carrera de fondo en el uso de las tecnologías desarrollando auténticos ordenadores sobre ruedas. Es lo que hoy conocemos como coche conectado y el avanzado coche autónomo. Se prevé que para el año 2023 circulen por el mundo 775 millones de coches conectados. Los vehículos autónomos, que equipan un software más complejo, también van a ir en aumento con la previsión de que en 2026 ya rueden 50 millones de automóviles sin conductor.

No hay duda de las grandes ventajas que la tecnología está consiguiendo en la seguridad de los ocupantes de un vehículo gracias a los muchos sistemas de asistencia a la conducción (ADAS) que se están desarrollando y que hacen posible hablar del coche autónomo. A esto hay que sumar que vivimos pegados a un teléfono móvil, nos gusta estar conectados en todo momento, también mientras conducimos, y ahora ¿qué conductor se compra un coche si no puede conectarlo con su Smartphone? Muy pocos.

Los vehículos cada vez son más complejos desde el punto de vista tecnológico. De hecho, se calcula que el software de un coche moderno de gama media está formado por unos 100 millones de líneas de código, muy por encima de los de un caza de combate F35 -con 24 millones de líneas de código-, el sistema operativo Windows Vista -50 millones- o, incluso, que todo el software que emplea Facebook, con 62 millones. Y esta elevada informatización puede hacer que el coche sea vulnerable y se ponga en el punto de mira de los hackers o ciberdelincuentes.

Según datos de la empresa española Eurocybcar, especializada en el análisis de la ciberseguridad de los vehículos, desde 2012 se han documentado 400 ataques a modelos de más de 46 marcas en todo el mundo. Estos ataques comprometieron la privacidad de las personas que viajaban a bordo de esos vehículos e, incluso, supusieron un peligro para su vida. Uno de estos casos lo protagonizaron los hackers Charlie Miller y Chris Valasek en 2015. Invitaron a un periodista norteamericano a conducir un Jeep Cherokee y demostraron en directo que, en remoto, fueron capaces de manipular el aire acondicionado, los limpiaparabrisas, el equipo de audio, y lo que es más peligroso, los frenos, la transmisión y el motor. En este vídeo puedes ver cómo lo consiguieron:

Si hasta ahora la legislación europea había estado volcada en la seguridad física de los vehículos y sus ocupantes obligando a los fabricantes a equiparlos con diferentes sistemas (ABS, airbags, asistencia a la frenada, protección de peatones, ESP, eCall…), la incertidumbre que está ocasionando el coche conectado y autónomo ha tenido como resultado una nueva normativa sobre ciberseguridad en los vehículos. Se trata del nuevo reglamento UNECE/TRANS/WP.29/2020/79 aprobado el 23 de junio de 2020, y en vigor desde el día 1 de enero de 2021, que afecta a coches, autobuses, camiones, furgonetas y remolques. De momento las motocicletas quedan fuera de la norma por su menor avance hacia la conducción automatizada.

Esta normativa exige a los fabricantes un certificado de ciberseguridad para cada uno de sus vehículos dentro del mercado europeo y les da una plazo para conseguirlo: será obligatorio a partir del 1 de julio de 2022 para vehículos de nueva homologación y a partir del 1 de julio de 2024 para todos los vehículos nuevos.

De forma paralela, desde la Organización Internacional de Normalización (ISO) y la Sociedad de Ingenieros Automotrices (SAE Internacional) están desarrollando actualmente un texto que busca implementar la ciberseguridad en los vehículos durante todo su ciclo de vida. Se trata del estándar ISO/SAE 21434 que será compatible con la norma UNECE.

Sin duda son importantes noticias para avanzar en la ciberseguridad de los vehículos ya que, hasta ahora, los documentos previos sólo hacían referencia a recomendaciones prácticas no vinculantes como la 'Guía de ciberseguridad para sistemas de vehículos ciberfísicos J3061_201601' (SAE, enero 2016), ‘Las mejores prácticas de ciberseguridad para vehículos modernos’ (NHTSA, octubre 2016), o ‘Ciberseguridad y resiliencia de automóviles inteligentes’ (ENISA, enero 2017). En julio de 2017 llegaría la empresa Eurocybcar, con sede en Vitoria-Gasteiz (País Vasco), y realizarían la primera prueba de ciberseguridad a un vehículo fabricado en España detectando su vulnerabilidad en cuanto a la protección de la vida y a la privacidad de las personas que viajan a bordo.

España está siendo protagonista en este camino hacia la ciberseguridad. En julio de 2018 se inaugura el Centro Vasco de Ciberseguridad (BCSC), dando un gran apoyo al desarrollo de Eurocybcar, y en diciembre de 2019 el Gobierno Vasco somete a uno de los vehículos de su flota al test Eurocybcar para conocer las cibervulnerabilidades a las que se exponen las autoridades que viajan a bordo de dichos vehículos. Y así hasta hoy donde ya hay fecha para que un vehículo tenga su certificado de ciberseguridad en la Unión Europea.

La nueva normativa de UNECE está disponible para todos sus miembros a nivel mundial. Además de la Unión Europea, Corea del Sur y Japón también han confirmado que la aplicarán en sus territorios. ¿En qué consiste? Realmente lo que busca es crear un sistema de gestión de la ciberseguridad en los vehículos proporcionando protocolos necesarios para:

•- Identificar y gestionar los riesgos de ciberseguridad en el diseño de vehículos.

•- Verificar que se gestionen los riesgos, incluidas las pruebas.

•- Asegurar que las evaluaciones de riesgos se mantengan actualizadas.

•- Monitorizar los ciberataques y que se responda efectivamente a ellos.

•- Analizar los ataques exitosos o intentos de ataque.

•- Evaluar si las medidas de ciberseguridad siguen siendo efectivas a la luz de las nuevas amenazas y vulnerabilidades.

Para cumplir con la normativa, los fabricantes tendrán que crear para sus vehículos un sistema de gestión de ciberseguridad -CSMS, por sus siglas en inglés-. Un CSMS que cumpla con los requisitos marcados por la ONU significará que ese fabricante gestiona la ciberseguridad de sus modelos a lo largo de todo su ciclo de vida: desarrollo, producción y posproducción. Además, cada una de esas fases incluirá protecciones contra 70 amenazas específicas que están relacionadas con siete apartados:

1.- Amenazas en los servidores back-end: los responsables de que todo el sistema informático de los vehículos o las redes informáticas internas del fabricante funcionen. Deben evitar pérdidas de información en la nube, filtraciones de información por compartir datos de forma involuntaria o que un trabajador haga un uso ilícito de los datos a los que tenga acceso.

2.- Amenazas con los canales de comunicación que usa el vehículo para conectarse con su entorno, como otros vehículos o la infraestructura. En este apartado, deben evitar suplantar la identidad de otros vehículos, inyectar programas que dañan sistemas informáticos, manipular o eliminar datos y códigos del software del vehículos.

3.- Amenazas a las conexiones y conectividad externa. Deben evitar la manipulación de funciones remotas, como la llave, el inmovilizador y la batería; manipular conexiones telemáticas como la medición de la temperatura de la mercancía en vehículos industriales o desbloquear las puertas de manera remota; y causar interferencias en los sistemas inalámbricos de corto alcance y sensores.

4.- Amenazas a los datos o código del vehículo. En este apartado se incluye el evitar el acceso ilícito a la información privada del propietario, la falsificación de su identidad o la manipulación de datos del vehículo, como el kilometraje, la velocidad de conducción, el envío de mensajes falsos e indicaciones al conductor…

5.- Amenazas sobre los procedimientos de actualización de los vehículos, es decir, de sus sistemas informáticos ya sea de forma inalámbrica o mediante una descarga.

6.- Amenazas relacionadas con acciones humanas no intencionadas: que alguien con acceso al vehículo -el propietario, un mecánico…- pueda introducir un virus de forma involuntaria si lo engaña un ciberdelincuente.

7.- Posibles amenazas que podrían explotarse si no se protegen o refuerzan lo suficiente. Se deben evitar fallos de software, que la información del propietario pase a un segundo dueño en caso de venta del coche, o que se reemplacen elementos del vehículo que cumplan con la norma por otros que no la cumplan.

El fabricante del vehículo es el máximo responsable del cumplimiento de la norma y también debe comprobar que sus proveedores identifican y gestionan los riesgos de ciberseguridad del componente que proporcionan. Aunque el texto de la norma aporta unos requisitos mínimos y los riesgos que deben evitar, serán los propios fabricantes los encargados de aportar la solución, para que, finalmente, sea una entidad externa la que emita el certificado de ciberseguridad. Es decir, los fabricantes tendrán que contratar un servicio técnico externo que certifique que su vehículo es ciberseguro. Un vehículo no será apto cuando no cumpla uno o más de los 70 requisitos. Y si es apto, deberá venir indicado en su ficha de homologación mediante una etiqueta.

Según informa Eurocybcar, “hasta la fecha se desconoce si se elaborará algún documento más específico, donde se acuerde una interpretación común de los métodos y criterios de evaluación”.

Lo que sí establece el reglamento es que este certificado de ciberseguridad tendrá una validez por un máximo de tres años a partir de la fecha de entrega. Antes de cumplir el plazo el fabricante deberá solicitar un nuevo certificado -si ha habido cambios en el reglamento- o extender la validez del anterior por un período adicional de tres años. En el caso de no cumplirse los requisitos, el certificado será retirado. Además, el fabricante tendrá la obligación de informar a la entidad autorizada de cualquier cambio que suponga la aparición de nuevos ciberataques.

¿Y si se detecta que un coche incumple los requisitos del nuevo reglamento de ciberseguridad? Por un lado desde la ONU/UNECE se le puede retirar la homologación, y por otra, desde la Unión Europea se podrá sancionar al fabricante con hasta 30.000 euros por cada unidad que incumplan los criterios exigidos y también podrá retirar o suspender su homologación.