Ciberseguridad de vehículos
Reglamento 155 de la ONU
Este reglamento establece los requisitos necesarios para proteger a los vehículos contra ciberataques, asegurando la integridad y seguridad de los sistemas electrónicos y la privacidad de los usuarios. A medida que los vehículos se vuelven más conectados, la ciberseguridad se convierte en un aspecto crucial para garantizar la confianza y seguridad en las carreteras.
La industria automovilística se encuentra en una fase de transformación sin precedentes. Desde la integración de tecnologías avanzadas como los vehículos autónomos hasta la implementación de soluciones inteligentes en sistemas de infoentretenimiento y telemetría, los automóviles de hoy en día se asemejan más a sofisticados ordenadores sobre ruedas que a los vehículos tradicionales. Sin embargo, esta revolución tecnológica trae consigo una serie de desafíos nuevos y complejos, particularmente en el ámbito de la ciberseguridad.
La digitalización de los sistemas automovilísticos ha creado una superficie de ataque significativamente mayor para los ciberdelincuentes, exponiendo tanto los vehículos como a sus usuarios a riesgos graves. Esto ha llevado a la necesidad de establecer normativas claras y efectivas que aborden estos peligros, y es en este contexto donde entra en juego el Reglamento 155 sobre Ciberseguridad de Vehículos, adoptado por la Comisión Económica para Europa de las Naciones Unidas (UNECE). El Reglamento 155 busca asegurar que todos los vehículos nuevos sean equipados con sistemas de ciberseguridad robustos y que las empresas automovilísticas adopten estrategias proactivas para proteger a sus clientes.
¿Qué exige el reglamento 155?
El Reglamento 155 establece directrices estrictas para los fabricantes de vehículos con el objetivo de gestionar los riesgos de ciberseguridad a lo largo de todo el ciclo de vida del vehículo. Entre sus disposiciones clave, se incluyen:
1. Establecimiento de un sistema de gestión de ciberseguridad (CSMS): Todos los fabricantes deben implementar un CSMS que permita identificar, analizar y mitigar las amenazas cibernéticas de forma continua. Este sistema debe ser auditado periódicamente por autoridades reguladoras para asegurar su efectividad.
2. Evaluación de riesgos y vulnerabilidades: Las empresas automovilísticas deben realizar evaluaciones constantes de los riesgos de ciberseguridad, tanto en la fase de diseño como en la producción. El Reglamento requiere que estas evaluaciones cubran tanto posibles vulnerabilidades dentro del vehículo como aquellas que pueden surgir de las interacciones con infraestructuras externas, como redes de carga y sistemas de comunicación V2X (vehicle-to-everything).
3. Detección y respuesta ante incidentes: El reglamento subraya la importancia de que los vehículos puedan detectar y responder de manera adecuada a ataques cibernéticos en tiempo real. Esto incluye la capacidad de activar contramedidas automáticas en caso de una intrusión, como la desactivación de funciones críticas o la limitación del acceso a ciertos sistemas.
4. Actualizaciones de software remotas (Over-the-Air): Una de las exigencias clave del reglamento es que los vehículos sean capaces de recibir actualizaciones de software de manera remota, lo que permite corregir vulnerabilidades y mejorar la ciberseguridad sin necesidad de que el vehículo sea llevado a un taller.
El Reglamento 155 establece nuevos estándares para proteger a los vehículos contra ciberataques.
El auge de los vehículos conectados y la necesidad de regulación
Los vehículos conectados están revolucionando la forma en que nos desplazamos, con funciones como la navegación asistida por inteligencia artificial, mantenimiento predictivo, actualizaciones remotas de software (over-the-air), y sistemas avanzados de asistencia a la conducción (ADAS). Sin embargo, cada uno de estos avances tecnológicos crea posibles puntos de entrada para ciberataques.
Se estima que, dentro de un periodo de tiempo no demasiado largo, un alto porcentaje de los automóviles nuevos estarán conectados a redes, lo que aumentará el número de vehículos susceptibles a vulnerabilidades cibernéticas. Desde la manipulación remota de la funcionalidad del vehículo hasta el robo de datos personales, la lista de riesgos es amplia. En este sentido, el Reglamento 155 ofrece un marco que ayuda a los fabricantes a establecer mejores prácticas para mitigar estas amenazas, creando un entorno regulado y de confianza para los usuarios.
La creciente evolución de la tecnología en los automóviles subraya la urgente necesidad de regulaciones estrictas como el Reglamento 155.
Aunque el Reglamento 155 fue desarrollado por la UNECE, su impacto no se limita a los estados miembros. Al tratarse de una normativa globalmente aceptada, se espera que fabricantes de todo el mundo, especialmente aquellos que exportan vehículos a Europa, adopten las disposiciones del Reglamento 155.
Países como Japón, Corea del Sur y China ya han mostrado interés en seguir el mismo camino, lo que indica que este tipo de regulaciones será adoptado a nivel global en un futuro próximo. En el caso de Estados Unidos, aunque no existe una regulación específica que siga exactamente los pasos del Reglamento 155, las agencias reguladoras como la NHTSA (National Highway Traffic Safety Administration) están comenzando a estudiar medidas similares.
Impacto económico y tecnológico para los fabricantes
La implementación del Reglamento 155 implica una inversión considerable por parte de los fabricantes de automóviles, especialmente aquellos que aún no han desarrollado tecnologías avanzadas de ciberseguridad. Los costos asociados con la creación de un CSMS, el desarrollo de pruebas de ciberseguridad y la realización de auditorías continuas son significativos. Además, los fabricantes deben capacitar a su personal en las mejores prácticas de ciberseguridad y crear departamentos específicos para gestionar estos riesgos.
Este tipo de normativas han sido acogidas por algunas empresas fabricantes de automóviles como una
oportunidad para diferenciarse en el mercado. Han invertido en el desarrollo de capacidades avanzadas, como Centros de Operaciones de Seguridad (SOC) dedicados exclusivamente a monitorear las amenazas
cibernéticas y a desplegar actualizaciones de software en tiempo real.
La implementación de estos estándares supondrá un reto significativo para la industria automovilística.
La implementación del Reglamento 155 presenta varios desafíos significativos. Los fabricantes no solo deben adaptar sus procesos de producción, sino también colaborar estrechamente con sus proveedores de componentes y software. Los sistemas automovilísticos son complejos y muchas veces incluyen piezas y tecnologías provenientes de varios proveedores. Por lo tanto, asegurar que todos los actores de la cadena de suministro cumplan con los mismos estándares de ciberseguridad puede ser complicado.
Además, las pruebas y certificaciones de ciberseguridad se están convirtiendo en un área de crecimiento importante. Los centros de pruebas especializadas, como los laboratorios que ofrecen servicios de penetración cibernética (pen-testing) y auditoría de ciberseguridad, están experimentando una creciente demanda debido a la necesidad de certificar que los vehículos cumplen con el Reglamento 155.
Ejemplos de ataques cibernéticos en vehículos
Varios incidentes en los últimos años han puesto de manifiesto los riesgos de ciberseguridad en los vehículos. Uno de los casos más notorios fue el hackeo de un Jeep Cherokee en 2015, cuando dos investigadores de ciberseguridad lograron tomar el control remoto del vehículo mientras se encontraba en movimiento. A través de una vulnerabilidad en el sistema de infoentretenimiento del coche, pudieron manipular el volante, frenos y acelerador, demostrando lo peligrosa que puede ser la falta de medidas de ciberseguridad robustas.
Otro caso reciente fue el ataque cibernético a Tesla, en el cual investigadores descubrieron una vulnerabilidad que permitía desbloquear el automóvil y robarlo utilizando una combinación de hardware de bajo costo y software malicioso. Estos incidentes refuerzan la necesidad de contar con normativas estrictas como el Reglamento 155, que obliga a los fabricantes a tener en cuenta la ciberseguridad desde el diseño inicial hasta la producción y el mantenimiento.
Casos de ataques de infiltración en Red
↘ Agosto de 2010
Envío de mensajes falsos al sistema de monitoreo de presión de neumáticos (TPMS) que resultó en una activación falsa del testigo de advertencia de presión baja y anunció un fallo falso del sistema.
↘ Octubre de 2023
Demostración de un posible ataque al CAN bus de un vehículo mediante el envío de paquetes CAN maliciosos aleatorios, lo que resultó en la obtención de un control completo de la pantalla, la aceleración y la configuración de los frenos del vehículo.
↘ Febrero 2015
El Automóvil Club Alemán ADAC confirmó la vulnerabilidad de ConnectedDrive de BMW al demostrar que era posible abrir y cerrar las puertas de los vehículos enviando un simple mensaje de texto SMS.
↘ Julio de 2015
Los vehículos con el sistema OnStar de GM fueron encontrados vulnerables en cuanto a la seguridad de las cerraduras de las puertas y el arranque.
↘ Marzo de 2019
Toyota tuvo una brecha de seguridad que filtró información confidencial. Más de 3,1 millones de personas se vieron afectadas. Además, se detectaron intentos no autorizados de acceder a los sistemas de los concesionarios de Toyota.
↘ Enero de 2023
Se encontró un fallo de API en casi 20 fabricantes de vehículos, que podría haber permitido a los piratas informáticos desbloquear, arrancar y rastrear automóviles.
Conclusión: El futuro de la ciberseguridad en la industria automovilística
El Reglamento 155 sobre Ciberseguridad de Vehículos representa un paso crucial hacia la protección de los vehículos conectados contra las crecientes amenazas cibernéticas. A medida que los vehículos continúan evolucionando hacia sistemas completamente automatizados e integrados, es imperativo que las normativas sigan el ritmo de estos avances tecnológicos.
La industria automovilística está obligada a adaptarse a estos nuevos desafíos, no solo para cumplir con las regulaciones, sino para garantizar la confianza del consumidor y la seguridad vial en un mundo cada vez más interconectado. La ciberseguridad se ha convertido en una prioridad de primer orden, y el Reglamento 155 marca el comienzo de una nueva era en la que los vehículos no solo serán evaluados por su rendimiento mecánico, sino también por su capacidad para resistir los ataques cibernéticos.