A prueba de hackers: los vehículos estarán obligados a tener un certificado de ciberseguridad

La normativa ONU/Unece WP.29, en vigor desde el 1 de enero de 2021, obliga a los vehículos a contar con un certificado de ciberseguridad. Será de obligada aplicación en todos los países de la Unión Europea y afectará a coches, furgonetas, autocaravanas, camiones y autobuses, así como a los vehículos ligeros de cuatro ruedas si están equipados con funciones de conducción automatizada a partir del nivel 3 y a los remolques si están dotados con, al menos, una unidad de control electrónico.

En la Unión Europea, deberán cumplir la normativa los vehículos que se homologuen a partir de julio de 2022, obligación que se extenderá a todos los vehículos nuevos que se vendan en este territorio a partir del 1 de julio de 2024.

Para Azucena Hernández, CEO de la empresa Eurocybcar, esta regulación es drástica, pero muy necesaria. “Los vehículos son grandes ordenadores con ruedas y deben protegerse, como mínimo, igual que se protege un móvil o un portátil. Las consecuencias de que no estén bien ciberprotegidos pueden ser trágicas, no sólo a causa de un ciberataque premeditado, sino por un mal uso del propio usuario: puede producirse por algo tan sencillo como descargar música de una web de Internet en un pendrive, conectar ese pendrive al puerto USB de nuestro coche y que, al hacerlo, estemos introduciendo en realidad, y de forma inadvertida, un virus o un ‘malware’ que bloquee el sistema operativo del vehículo, provocando que el coche se pare por completo mientras circula, con el riesgo que eso podría conllevar”.

Protegidos frente a 70 vulnerabilidades

Para lograr el certificado de ciberseguridad, los fabricantes deberán demostrar que sus modelos están protegidos frente a 70 vulnerabilidades. Ese listado de riesgos a evitar incluye posibles ciberataques durante el desarrollo, producción y posproducción del vehículo, por lo que aquellos modelos que logren el certificado estarán protegidos a lo largo de todo su ciclo de vida. Además, se especifica que debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo analizado cumple esos requisitos.

En el caso de que algún fabricante ponga a la venta en la UE un vehículo que no cumpla con la normativa ONU/Unece WP.29 o se demuestre que engañaron a la entidad autorizada para obtener el certificado de manera irregular, se enfrentaría a sanciones de hasta 30.000 euros por vehículo y se podría retirar o suspender la homologación de los modelos afectados -lo cual impediría que se pudiesen vender-.

No obstante, según Eurocybcar, la normativa no detalla qué medidas deben tomar los fabricantes para hacer frente a esas 70 amenazas. Tampoco indica qué tipo de pruebas se deben realizar para saber si un vehículo puede obtener el certificado "APTO" de ciberseguridad.