Ilier Navarro. La ciberseguridad también se traslada a la industria del automóvil, que año tras año incorpora nuevas tecnologías e innovaciones en telecomunicaciones. Esto supone un reto para la privacidad, el tratamiento de datos y los controles inteligentes, por lo que los fabricantes de coches deben tener un enfoque preventivo, dado que los sistemas que antes eran individualizados y aislados ahora están interconectados, por lo que son más vulnerables a los ciberataques, cada vez más sofisticados y complejos. Es en este escenario en el que el próximo 1 de julio entran en vigor nuevas normas que afectarán a la ciberseguridad y a los software de los vehículos que circulen en territorio europeo.
La tecnología digital es una realidad para los automóviles de hoy en día. En este contexto, la Unión Europea ha acordado dos nuevas regulaciones que regirán los requisitos en materia de ciberseguridad, a cumplir por todos los vehículos que circulen en su territorio. Estas regulaciones son la R155, concerniente a los requisitos para la gestión de la ciberseguridad, y la R156, que estipula los requisitos para la gestión de actualizaciones de software.
El punto de partida de esta nueva regulación se encuentra en el Foro Mundial para la Armonización de la Reglamentación sobre Vehículos, que pertenece a la Comisión Económica de las Naciones Unidas para Europa (UNECE), que en 2020 aprobó el reglamento UNECE/TRANS/WP.29/2020/79 y que eleva los estándares de ciberseguridad de los vehículos.
Tal como recuerda el Instituto Nacional de Ciberseguridad (INCIBE), en España estos requisitos serán de obligatorio cumplimiento para todos los vehículos a partir del 1 de julio de 2024, afectando a los propios coches y a los fabricantes y proveedores. A partir de esa fecha, los coches nuevos deberán contar con elementos que protejan al conductor y a los pasajeros de los posibles ataques por parte de agentes maliciosos que intenten acceder al software del vehículo, los sensores o los servicios conectados mediante alguna vulnerabilidad que presenten estos sistemas.
Retos de ciberseguridad en los vehículos
Las obligaciones afectarán principalmente a los fabricantes de vehículos, que ahora se deberán enfrentar al desafío de proporcionar protección a múltiples sistemas en constante movimiento sin comprometer la seguridad física de los conductores y pasajeros o la funcionalidad de los vehículos. Los reglamentos europeos R155 y R156 detallan los requisitos de ciberseguridad que los fabricantes deberán cumplir para optar a la homologación de vehículos que vayan a circular en los países de la Unión Europea, o países fuera de la UE que adopten dichos reglamentos. Todos ellos deberán superar dichos sistemas de homologación antes de poder ser vendidos dentro de la Unión Europea.
Tal como señala el INCIBE en una guía específica sobre esta novedad legal, la mayoría de los nuevos requisitos de ciberseguridad para vehículos se podrán cumplir si se aplica un sistema de gestión de la ciberseguridad del vehículo (SGSI) que establezca y desarrolle procedimientos internos de seguridad digital, pero también a través de la realización de análisis de riesgos y mediante el estableciendo de requisitos y controles a lo largo de la cadena de suministro.
Con todo, hay algunos casos concretos en los que los niveles de dificultad son mayores. Es lo que ocurre con los requisitos relacionados con la fase de mantenimiento del vehículo, cuando este está en uso por el cliente final. Son casos que necesariamente exigirán una especial atención.
Los fabricantes deben dar garantías sobre la información que registrará el coche durante su uso y sobre cómo se trasladarán dichos datos a la marca, cómo se enfocará el análisis de los mismos y cada cuánto tiempo se recabarán. Otra área que debe centrar las actuaciones de la industria del automóvil es cómo se van a suministrar las actualizaciones de los sistemas con garantías para evitar intromisiones o ciberataques.
El problema es que en muchos de estos procesos las soluciones más cómodas para el fabricante no serán la mejor opción para el usuario final. Por ejemplo, un fabricante puede optar por requerir que el cliente lleve el vehículo periódicamente al servicio técnico como método único para aplicar actualizaciones de ciberseguridad, lo que conllevaría costes adicionales y molestias para el conductor del vehículo.
Sin embargo, los procesos más avanzados y con mayor funcionalidad requerirán tenerse en cuenta desde el momento de diseño de nuevos vehículos, o incurrir en mayores costes a la hora de aplicarse retroactivamente. Y es que, tal como destaca la guía desarrollada por el INCIBE, la ciberseguridad debe tratarse de manera global en la empresa fabricante de coches porque cada paso del proceso se configura en una base para la siguiente etapa que ayudará a la efectividad de las medidas de seguridad, el cumplimiento de la nueva regulación y la reducción de impacto y recursos necesarios para la gestión de incidentes.