Ataques

Las reglas que tendrán que cumplir todos los coches en Europa

Ya se conocen los primeros detalles de la norma que tendrán que cumplir todos los coches que se vendan en Europa. Quiere garantizar que los coches sean ciberseguros durante toda su vida. ¿Cómo?

regla ciberseguridad coche

Ya se conoce el borrador de la norma que deberán cumplir todos los coches que quieran venderse en Europa a partir del año 2022. Se trata de un documento que ha elaborado la ONU para establecer unos requisitos mínimos que deben cumplir los coches para garantizar que sean ciberseguros.

Y la Comisión Europea va a imponer esas condiciones de la ONU como obligatorias para poder homologar coches en el espacio económico europeo. Como adelantó a HackerCar Pablo Escapa, Chief Technology and Scientific Officer -CTO- en EUROCYBCAR, «se necesitará un certificado de conformidad en materia de ciberseguridad» para poder lograr la homologación europea.

¿Qué se les exigirá a los coches?

El borrador de dicho reglamento -al que ha tenido acceso HackerCar y que puedes descargar aquí– exigirá a los fabricantes que sus modelos cumplan con un nivel mínimo de ciberseguridad a lo largo de toda la vida de un coche. Desde que sale del lápiz de un diseñador hasta que se da de baja en un desguace.

Para ello, las marcas de coches deberán desarrollar para sus modelos un Sistema de Gestión de Seguridad Cibernética -CSMS por sus siglas en inglés- cuyo funcionamiento esté verificado.

¿Y en qué consiste el CSMS? Se trata de un sistema de procesos que, en conjunto, deben garantizar la ciberseguridad del vehículo de forma adecuada. Esos procesos se basan en una serie de amenazas cibernéticas existentes para los vehículos y una serie de medidas para mitigarlas.

O sea, por un lado, hay un listado muy amplio de posibles vulnerabilidades que tienen las tecnologías de los automóviles. Y por otro, hay un catálogo de requisitos que los coches deben cumplir para evitar que les afecten los fallos registrados. Se exponen los problemas y sus soluciones. Y la Comisión Europea no homologará ningún vehículo que no tenga verificado que da solución a todos los problemas.

Amenazas a las que tendrán que hacer frente

El documento recoge 7 categorías de ataques y hace dentro de ellas numerosas subdivisiones, ejemplificando cada una. Estas son dichas categorías y sus ejemplos más destacados:

  • Accesos no autorizados a los servidores del vehículo. Por parte de trabajadores, a través de Internet, a través de los puertos del coche -como el USB-…
  • Amenazas a los canales de comunicación, que permitan a un atacante interceptar una comunicación entre dos elementos y manipularla. Por ejemplo, las comunicaciones de dos vehículos entre sí.
  • Amenazas a los procesos de actualización. Esto incluiría, por ejemplo, garantizar que, en caso de que el coche reciba actualizaciones de software a través de Internet, estas no se manipulasen.
  • Fallos humanos. Imagina que alguien te regala un pen drive diciéndote que contiene música cuando en realidad lo que tiene es un virus. Si lo conectas en tu coche para reproducirlo, descargarías el malware en el sistema informático de tu vehículo.
  • Amenazas relacionadas con la conectividad externa del vehículo. Por ejemplo, los robos que se realizan a través del sistema keyless.
  • Amenazas relacionadas con la información de los coches. Extraer información personal del usuario, copyright de elementos del fabricante, falsificaciones de identidad… Todas las manipulaciones posibles de los datos que almacena el vehículo.
  • Potenciales vulnerabilidades que podrían explotarse de no estar lo suficientemente protegidas. Por ejemplo, cifrados de códigos informáticos -como el de la llave del coche-, fallos de software, etc.

Formas de mitigar dichas amenazas

Aparte de identificar los riesgos, el borrador del documento de la ONU propone también formas de mitigarlos. Así que obliga a que haya una solución concreta para cada una de las vulnerabilidades del apartado anterior. Estas son las más destacadas:

  • Con respecto a los canales de comunicación del vehículo, este debe verificar la autenticidad e integridad de los mensajes que reciba. Así evitará aceptar información de fuentes no fiables o falsas.
  • Con respecto a los procesos de actualización de software, se insta a usar procedimientos seguros, lo que impide su manipulación.
  • Para evitar fallos humanos, se propone, por ejemplo, limitar al mínimo imprescindible los accesos que tengan a los sistemas cada persona que toque el vehículo. Así se controla el riesgo que derive de un mal uso de ellos.

¿Próxima parada?

El siguiente paso previsto para continuar con la aprobación de este texto es que el borrador se ratifique en junio de 2020 en la reunión plenaria del Foro Mundial para la Armonización de la Regulación de Vehículos. De momento, no hay noticias sobre si este encuentro se verá alterado por la actual pandemia del coronavirus.

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.