Fabricantes y concesionarios de coches, obligados a blindarse frente a las ciberamenazas

El 70% de los vehículos que se vendan en España en 2025 estarán conectados, según la consultora especializada MSI. La convergencia entre coches y Tecnologías de la Información y Comunicación (TIC) amplía considerablemente el abanico de funcionalidades de un producto que cada vez más se asemeja a un ordenador con ruedas. Eso también tiene una cara menos amable, como es su vulnerabilidad ante las ciberamenazas. Por ejemplo, el 'hackeo' de los coches o, en menor medida, el robo de datos sensibles de los clientes. De ahí que fabricantes y concesionarios se vean obligados a blindarse frente a estos hipotéticos peligros, so pena de ser sancionados con multas de hasta 600.000 euros, según datos de Eurocybcar -empresa experta en ciberseguridad del automóvil- recogidos por Sumauto.

Se espera que el próximo mes la ONU apruebe una nueva regulación que se traducirá, a partir de 2022, en un Reglamento Europeo de Seguridad de Vehículos. Una norma que impedirá la venta de vehículos en la Unión Europea que no cuenten con su correspondiente certificado de ciberseguridad. Con la entrada en vigor del reglamento, los fabricantes deberán garantizar la seguridad informática de un vehículo en todas sus fases, como ya contempla la normativa ISO 21434, actualmente en desarrollo.

Según el informe de Eurocybcar, la amenaza de ciberseguridad más frecuente a la que se exponen los concesionarios es un ataque a los sistemas informáticos que permita el robo o manipulación de datos sensibles de los clientes. Se trata de un peligro real, pese a que en España aún no se ha visto reflejado en casos confirmados. La empresa especialista en seguridad del automóvil sí advierte de que en Estados Unidos este tipo de episodios son cada vez más frecuentes.

No obstante, a medio plazo la amenaza más seria la constituye el 'hackeo' del vehículo, puesto que dentro de sólo tres años se espera que siete de cada diez coches que se vendan en España estarán conectados a internet. En Sumauto -especialista en portales verticales de automoción de Vocento- explican que comprobar el nivel de ciberseguridad de un vehículo «es fácil», ya que existen test para medir las dificultades que tiene un ciberdelincuente para, de una manera remota, abrir puertas, bajar ventanillas, activar los frenos del coche o acceder a cualquier de sus sistemas electrónicos.

Los expertos de Eurocybcar sostienen que sistemas tan comunes en un coche como el 'bluetooth', el navegador, la llamada de emergencia, la llave con mando a distancia o cualquier aplicación que permita controlar funciones desde el móvil están disponibles ya en la mayoría de vehículos «y pueden ser vulnerados usando dispositivos de apenas 30 euros».

Por tanto, el concesionario, como vendedor del coche y responsable último del estado en que llega al consumidor, se verá obligado «a blindarse frente a este tipo de ciberataques y aplicar los protocolos de comprobación necesarios para garantizar su buen estado». Especialmente «en el mercado de ocasión, donde un vehículo ha sido objeto de 'cambio de manos'.

Jon Lekue, presidente de la Asociación de Consesionarios de Bizkaia y director general de Autonervión, rebaja el nivel de alerta y aclara que «en general, los fabricantes de automóviles y la Administración están trabajando en la eliminación de estas posibles vulnerabilidades que podrían ponerse de manifiesto en los sistemas de interconexión de los vehículos». Lekue duda además de que los concesionarios «pudieran ser los sujetos pasivos» de la normativa que prepara Europa, puesto que en su opinión «afecta más a los procesos de ingeniería del automóvil que a los de su comercialización».