Consejos HC

Las normas que se necesitan para hacer coches ciberseguros

La industria del automóvil se está armando para hacer frente a los ciberataques. Se están redactando varias normativas para proteger los vehículos... y hay alguna que incluso ya está en vigor.

Imagen de un equipo de personas trabajando en una cafetería delante de un cuaderno y varios papeles
Foto: Piqsels.

Después de una década -la del 2010- en la que se han registrado cientos de ciberataques en los vehículos, la industria del automóvil ya tiene claro el objetivo para estos años 20: hay que establecer normas para garantizar que los automóviles estén protegidos contra ciberataques.

Durante un encuentro organizado este jueves por la Asociación Española de Normalización -UNE-, varios profesionales del sector repasaron qué organismos están trabajando para regular la ciberseguridad de los coches y cuáles son las normas -o proyectos de normas- más relevantes en este sentido. Además, para justificar la necesidad de que exista esta normalización, se repasaron las vulnerabilidades que ya existen en los vehículos, las que vendrán y algunas soluciones para hacer cumplir los citados reglamentos.

Se necesitan normativas

Una de las ideas que se expusieron durante el evento es que solo se pueden regular aquellos ámbitos que estén lo suficientemente maduros. De lo contrario, no se podrían analizar bien las necesidades.

Y la ciberseguridad en la movilidad ya ha llegado a ese punto de madurez.

Varios de los ponentes expusieron todo lo que ya se sabe sobre los riesgos a los que se enfrentan los vehículos y el entorno que los rodea. Carlos Sahuquillo, consultor de Ciberseguridad en Automoción en GMV, mostró algunos ataques de prueba que habían realizado sobre un coche. Él y su equipo consiguieron suplantar la señal del GPS para hacerle creer al vehículo que iba campo a través, manipularon las revoluciones de su motor e incluso lograron hacer creer al coche que estaba sin gasolina.

Por su parte, Pablo Escapa, CTO de EUROCYBCAR, presentó una lista con 16 vulnerabilidades que suelen tener los vehículos y de las que podría aprovecharse un cracker. Entre ellas, manipular su software interno, robar sus datos o incluso alterar el funcionamiento de algunos sistemas que intervienen en la conducción.

Pero el problema no afecta solo a los automóviles. Estos ya tienen la capacidad de comunicarse con su entorno. Por ejemplo, con la propia carretera por la que circula para avisar de que se ha encontrado un obstáculo, y que la infraestructura alerte a su vez a los demás usuarios de la vía.

Por eso, si un ciberdelincuente consigue interceptar y alterar esas comunicaciones, podría causar un grave problema. “Cuando la infraestructura envíe datos de seguridad al vehículo -cuidado, obstáculo-, o que un vehículo se encuentre con ese peligro y lo transmita a la infraestructura, esa transferencia de datos debe ser genuina. Que se puedan identificar la autenticidad de todos los actores porque, si no, cualquiera podría colarse y manipular la comunicación”, declaró. Ángel Pérez, CISO en Autopistas.

¿Cómo crearlas?

“La colaboración entre los distintos agentes es indispensable para elaborar normativas que permitan garantizar la ciberseguridad”, afirmó durante el evento Eduardo Valencia, Director en AMETIC Barcelona.

Y, para lograrlo, la coordinación es fundamental. El objetivo para Miguel Bañón, presidente del Comité de Ciberseguridad y Protección de Datos Personales de UNE, es que haya el menor número de normas posible para que los requisitos queden claros y no haya duplicidades.

Pero, una vez aprobada la norma, no debe darse la tarea por finalizada. Los vehículos y todo lo que les rodea cambiarán. Incluirán nuevas funciones, y no solo a largo plazo como puede ser la conducción autónoma total. En los próximos años, los vehículos sumarán nuevas funcionalidades gracias a la conectividad. Por ejemplo, será habitual que los conductores puedan comprar comida desde el vehículo.

La parte negativa es que esos nuevos servicios conectados implicarán nuevos desafíos de ciberseguridad. Y ahí es donde los organismos reguladores deben escuchar a los investigadores de ciberseguridad.

“La investigación tiene que apoyar a todo lo que rodea al coche. Y eso incluye a los estándares de ciberseguridad”, aseguró Raúl Orduna, director de Ciberseguridad en VICOMTECH. Los investigadores irán descubriendo nuevas vulnerabilidades y las soluciones para hacerlas frente, así que es importante tener en cuenta esos hallazgos para ir actualizando las normas existentes. De lo contrario, quedarían anticuadas, porque los ciberdelincuentes siempre crearán nuevos ataques.

¿Qué normas de ciberseguridad deben seguir los vehículos?

El reglamento protagonista en la mayoría de ponencias fue la norma ONU/UNECE WP29 R155. Fue aprobada por un foro de las Naciones Unidas, ya está en vigor y se aplicará en al menos 54 países. Entre ellos, todos los de la Unión Europea. Se aplicará a coches, camiones, furgonetas y autobuses, entre otros vehículos.

Lo novedoso de este texto está en que obligará por primera vez a incluir requisitos de ciberseguridad en los vehículos. De lo contrario, estos no se podrán homologar en los países afectados. En la UE, deberán de cumplirlo todos los vehículos homologados a partir del 1 de julio de 2022, y todos los vehículos nuevos dos años después.

Además, la ONU también aprobó otro reglamento con las mismas condiciones de aplicación que el R155. Se trata del R156 y obliga a las marcas a establecer protocolos para que sus automóviles siempre tengan actualizado su software. Es decir, se pretende garantizar que el software instalado en el coche sea siempre la última versión, y que descargar las nuevas sea, además, un proceso ciberseguro.

Aparte de esas normas, que son las principales, existen o se están desarrollando numerosas normas o certificaciones que afectan a varios componentes de los automóviles conectados. Por ejemplo, para sus sistemas de comunicaciones o para comprobar la solidez con la que sus componentes protegen la información. Todas estas iniciativas se pueden consultar en un informe desarrollado por la UNE y que fue presentado en este evento, a cuyo contenido se puede acceder aquí.

¿Y cómo comprobar que se cumplen?

Es un gran reto garantizar que se cumplan las normativas vigentes y las que vendrán. Pablo Escapa, CTO de EUROCYBCAR, propuso “plantear un sistema de testeo para comprobar que se cumple la normalización que se está creando“, ya que los reglamentos se pueden quedar en papel mojado si no se vigila que los fabricantes los cumplan adecuadamente.

En ese sentido, Escapa detalló las características del test EUROCYBCAR, que es “el primero en el mundo que mide y certifica el nivel de ciberseguridad de los vehículos conectados“. Los vehículos examinados en este test se enfrentarán a tres tipos de pruebas: si es posible acceder a sus sistemas de forma local y de forma remota, además de comprobar la seguridad de las aplicaciones móviles que ofrezca el fabricante del automóvil. “Evaluamos diferentes vectores de ataque, ECUs, acceso de mando a distancia… Analizamos sistema por sistema y damos una calificación en base a los resultados de las pruebas realizadas”, explicó Escapa.

Además, este test sigue los criterios exigidos por el reglamento ONU/UNECE WP29 R155, por lo que este conjunto de pruebas serviría para demostrar el grado de cumplimiento de los coches con dicha norma.

He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.