Índice de contenidos
A lo largo de los años, habrás oído hablar sobre muchas normas alrededor del mundo de la automoción. Pero, ¿conoces la WP.29? No te preocupes si resulta completamente desconocida para ti, pues esta regla de seguridad acaba de llegar… pero lo ha hecho para quedarse. Todos los coches a partir de 2024 deberán ser seguros frente a los ciberataques. Los modelos que no cuenten con este tipo de certificado europeo no podrán salir a la venta en el Viejo Continente a partir del próximo 6 de julio, y eso demuestra el compromiso del sector con la seguridad, no solo a nivel mecánico.
La ciberseguridad ha ido tomando importancia con el paso del tiempo, a medida que los coches han ido incorporando nuevas tecnologías en su interior. Pero sobre todo, en las últimas semanas, se ha demostrado la importancia de proteger a los conductores frente a estos ataques, después de que la Guardia Civil de Tráfico anunciase una investigación, ante el posible robo de los datos de conductores y sus vehículos. En total afectaría a cerca de 30 millones de usuarios en España y la información, habría sido sustraída de las bases de datos de la DGT a través de las matrículas para después, ponerlos a la venta en Internet. Por lo que el sector ha decidido blindarse ante este otro riesgo que también es importante.
Los efectos de una conectividad máxima
No piense que estos ciberataques solo ocurren en grandes corporaciones o instituciones relevantes. Los efectos de una conectividad máxima en nuestro coche hacen que también seamos susceptibles al robo de datos ya que, sin ir más lejos, esta mañana ni siquiera habrás necesitado usar tu llave para abrir el coche. Y todos estos sistemas que a priori nos facilitan la vida, están relacionados con la conectividad. En ese apartado no solo se incluye el momento en el que enlazamos nuestro smartphone, sino que va mucho más allá. Los automóviles son cada vez más inteligentes pero, al mismo tiempo, están más conectados con uno mismo, con el propio fabricante y con las infraestructuras. Por lo que le hemos abierto la puerta a sufrir un ciberataque.
Una norma pensada para protegernos
Ante la amenaza de nuestra seguridad a nivel informático, el Foro Mundial para la Armonización de la Reglamentación sobre Vehículos, ha dado paso a la dura norma de ciberseguridad que será estrictamente necesaria para poder vender un coche a partir del próximo 6 de julio. Aquellos automóviles que no cumplan con las normas R155 y 156 promovidas por la ONU y aprobadas en 2022, no podrán ponerse a la venta y la medida, también ha sido aceptada por Japón y Corea del Sur. Mientras que en Estados Unidos se resisten a aceptar este blindaje. Pero, ¿en qué consisten esas reglas?
- R155: forma parte del mismo paquete legislativo que ha hecho obligatorio hasta ocho nuevos asistentes de seguridad ADAS, también desde julio. Afecta desde un coche hasta a un camión.
- R156: pretende garantizar que las actualizaciones de software se realicen de forma segura, sin ser susceptibles a vulnerabilidades adicionales.
Enfrentar hasta 70 amenazas de ataque informático
Básicamente, la nueva regulación estipula que cualquier coche que se ponga en venta, debe incluir un sistema de gestión de seguridad (CSMS, por sus siglas en inglés). El objetivo de este sistema es garantizar que los coches que salgan a la calle sean seguros frente a actores maliciosos que tengan la intención de explotar alguna vulnerabilidad en el software o los servicios conectados de nuestro vehículo. La norma exige hacer frente hasta a 70 posibles amenazas de ataque informático.
El alcance de estos sistemas de control es mayor del que en un principio nos podemos imaginar. Obviamente, está centrado en la protección de los automóviles contra ciberataques y la gestión eficiente de incidentes, pero eso abarca desde el proceso de diseño y los componentes hasta el final de su vida útil. La norma necesita ser efectiva ante 70 posibles amenazas. Por lo que durante el proceso, también entran en juego 150 centralitas y 100 millones de líneas de códigos con los que cuenta un automóvil moderno en la actualidad. Al fin y al cabo, el peligro puede estar oculto en algo tan sencillo como la música que nos hemos descargado.
Certificado Obligatorio y con posibles sanciones
Para obtener este certificado de ciberseguridad, los fabricantes deberán someterse a una prueba que deje en evidencia su efectividad frente a esas 70 amenazas diferentes. Si el vehículo es seguro, el fabricante obtendrá un certificado de homologación para los próximos tres años, que se deberá renovar pasado ese tiempo. El objetivo es acreditar que con el paso de los años, el vehículo continúa siendo seguro en caso de ciberataque. En caso contrario, la Unión Europea tendrá potestad de retirar la homologación e incluso, retirar el modelo del mercado si no cumple con los requisitos.
Además de llevar a cabo esa prohibición en la venta directa de un vehículo dentro del continente europeo, siempre y cuando no cumpla con la certificación de ciberseguridad, la Unión Europea también impondrá duros castigos económicos. Los fabricantes podrán enfrentarse a multas de hasta 30.000 euros por cada unidad del modelo que cometa la infracción, por lo que se demuestra que la regulación va en serio. Al fin y al cabo, proteger al conductor sigue siendo lo más importante.