Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
2024-03-14
El vehículo culpable de un accidente se da a la fuga o no tiene seguro ¿A quién reclamar?
2024-05-31
La Guardia Civil investiga un posible robo de datos de millones de conductores en un ciberataque a la DGT
2024-06-01
Los nuevos coches tendrán que ser 'ciberseguros' desde el 6 de julio
2024-07-02
Desarticulada una organización criminal especializada en el robo, falsificación y receptación de vehículos para su venta en el mercado internacional>
2024-07-03
El Gobierno concede 62 millones a Renault para fabricar su primer coche eléctrico en España
2024-11-22
Un coche ocupa como 4 motos pero en el 80% sólo viaja el conductor
2025-02-03
El turismo pulveriza récords y registra 93,8 millones de visitantes en 2024, un 10,1% más
2025-03-10
Etiqueta B de la DGT en España: qué pasará con la situación de los coches en los próximos años
2025-07-08
Alertan sobre pegatinas fraudulentas en puntos de recarga para coche eléctrico
2025-08-07
La inmigración vuelve a disparar la población en España y roza los 50 millones de habitantes
3 дня назад
Casos en los que deberías barajar el seguro de coche por días
Назад
El Mundo
год назад

Los nuevos coches tendrán que ser 'ciberseguros' desde el 6 de julio

La noticia saltó ayer al mediodía: la Guardia Civil de Tráfico está investigando el posible robo de los datos de conductores -cerca de 28 millones en España-y de sus vehículos -unos 32 millones- que habrían sido sustraídos de las bases de datos de la DGT y puestos a la venta en Internet.

«Tenemos que ver si es así, porque, a veces, son anuncios falsos para lograr repercursión» señalaron fuentes de Tráfico a EL MUNDO, después de que El Confidencial publicase que esa información se ofrecía, desde el 13 de mayo, en un foro dedicado a la compraventa de información robada. Los delincuentes habrían obtenido desde las matrículas de los vehículos al nombre completo de los dueños, su DNI y domicilio o los datos del seguro.

Centro de pantallas de la DGT
Centro de pantallas de la DGT

500 millones de usuarios

«Hace dos semanas, detectamos a varios usuarios sospechosos que habían intentado entrar en la base de datos para recabar información. Se les cortó el acceso, fueron identificados y están siendo investigados» añadieron desde Tráfico. Las mismas fuentes recordaron que este tipo de ciberataques son frecuentes en los distintos organismos y empresas. Sin ir más lejos, a Ticketmaster le han robado los datos de más de 500 millones de clientes en plena gira de Taylor Swift.

Bueno, pues no piense que eso solo les pasa a grandes corporaciones o instituciones dañar. Su coche también es susceptible de sufrir un ataque informático.

La conectividad y digitalización llegan a niveles impresionantes
La conectividad y digitalización llegan a niveles impresionantesMERCEDES-BENZ

Conectividad máxima

Piense que al llegar esta mañana a cogerlo, no ha tenido que usar la llave para abrirlo. El sistema keyless ha reconocido que la llevaba en el bolsillo y le ha franqueado el paso. Lo siguiente que ha hecho el automóvil es enlazarse con su smartphone y lanzar en el navegador la ruta que ya había seleccionado en casa. Bueno, también mientras se tomaba el café, usó la app de la marca para ordenarle que el habitáculo estuviese a la temperatura ideal cuando llegase. Por último, antes de arrancar, el coche le avisó de una actualización de software pendiente de descargarse, por si quería hacerlo en ese momento. Y lo hizo.

Son algunas de las ventajas de contar con automóviles cada vez más inteligentes y conectados: con usted, con la nube, con el propio fabricante y con las infraestructuras.

La otra cara de la moneda es que, con esas operaciones, ha abierto hasta cuatro veces la puerta para que sufrir un ciberataque. ¿Peligroso? Pues depende. Puede tratarse solo de obtener un beneficio o usarlos de forma fraudulenta. Pero es famoso el caso de dos informáticos que, ya en 2015, abrieron y tomaron de forma remota el control de un Jeep mientras un periodista -al que usaron como cobaya- iba al volante. Un año antes, el FBI estadounidense había advertido del peligro de los automóviles autónomos si caían en las manos equivocadas.

Atacar el sistema Keyless (acceso sin llave) es lo más frecuente
Atacar el sistema Keyless (acceso sin llave) es lo más frecuente

activación remota

Y eso que hablamos de la prehistoria en cuanto a la conectividad y funcionalidades de un automóvil moderno. Hoy, podemos comprar un Tesla que es casi autónomo, pero con parte de esos sistemas latentes porque no hemos pagado por ellos o no están autorizados. Si un día queremos o ya podemos usarlos, al fabricante le basta con activarlos de forma remota.

Desde el 6 de julio, no podrá venderse ningún vehículo nuevo que no cumpla las normas

Desde el próximo 6 de julio, que alguien que no sea Tesla dé esa orden (o la contraria para un asistente activo) será mucho más complicado. Desde esa fecha no se podrán vender automóviles nuevos que no cumplan con las normas R155 y 156, promovidas por la ONU y a las que también se han sumado Japón y Corea del Sur, no EEUU. «Ambas suponen un punto de inflexión en materia de ciberseguridad en el sector» señala Alejandro Prieto Castro, del Instituto Nacional de Ciberseguridad (Incibe).

Las app de las propias marcas es otro camino para los hackers
Las app de las propias marcas es otro camino para los hackers

Desde 2022 en homologaciones

La segunda pretende garantizar que las actualizaciones de software se realicen de forma segura, sin introducir vulnerabilidades adicionales. La primera forma parte del mismo paquete legislativo que ha hecho obligatorios desde julio hasta ocho nuevos asistentes de seguridad ADAS. Y como pasaba con éstos, desde hace dos años ya era obligatoria para los vehículos de nueva homologación y que en este caso son todos, desde un coche a un camión.

La norma exige hacer frente hasta a 70 amenazas de ataque informático

Su alcance es mucho mayor, pues se centra en la protección de los automóviles contra ciberataques y la gestión eficiente de incidentes, abarcando desde el proceso de diseño y los componentes hasta el final de su vida útil. La norma exige hacer frente a 70 amenazas, a lo que hay que añadir dos hechos. Por un lado, las hasta 150 centralitas y 100 millones de líneas de códigos -cuatro veces más que un caza de combate- que tiene un automóvil moderno; por otro, que el peligro puede estar oculto en algo tan sencillo como la música que descargamos a través de un pendrive.

Organismos independientes

Además, ni la UNECE ni la UE han diseñado en este tiempo (el proyecto arrancó en 2020) un protocolo común de las pruebas a superar para lograr el apto. Ni quién las debe llevar a cabo. Sólo que esa validación la tendrá que realizar un organismo independiente, no el fabricante por su cuenta. En España, el Ministerio de Industria o laboratorios asociados como el Insia, el Inta o Idiada. Son los mismos que realizan las homologaciones técnicas y de consumos.

"La empresa española Eurocybcar ha desarrollado un protocolo único para certificar la ciberseguridad"

De hecho, este periódico contactó con varios fabricantes que remiten a un tema «complejo» y sensible en el que van de la mano de Industria; ratifican que sus coches cumplen con la norma y, como mucho, adelantan que supondrá un aumento de precio de «entre 100 y 200 euros». En cambio, si mintiesen y las homologaciones de los vehículos fueran fraudulentas, se arriesgan a una sanción de hasta 30.000 euros por cada automóvil. Una multa que se estableció para evitar que se repitieran engaños como el del dieselgate.

Metodología única

En este contexto cobra especial relevancia el papel de la empresa Eurocybcar, radicada en Vitoria y que está respaldada por Aenor (ver información adjunta). Según su CEO, Azucena Hernández, han sido los primeros en desarrollar y patentar una metodología (y herramientas informáticas) que «certifican la ciberseguridad de los vehículos» al evaluar qué aspectos de los exigidos se cumplen, cuáles no y cómo resolver los problemas que se presenten. «Son pruebas que se realizan de forma estandarizada y que se pueden aplicar a los distintos modelos de automóviles» señala a este periódico.

Son pruebas de tres tipos. De acceso físico, comprobando si se pueden manipular elementos como el ABS, los frenos o la dirección. Las segundas verifican los accesos remotos, analizando sistemas inalámbricos como la apertura sin llave, el wifi, el Bluetooth o la llamada de emergencia E-call. Finalmente, se ensayan las distintas aplicaciones que los fabricantes integran en sus coches.

EJEMPLOS DE ATAQUES INFORMÁTICOS A COCHES

'KEYLESS'. O acceso sin llave. El atacante lo que hace es replicar la información que envía el mando a la centralita para así poder abrir el coche y llevárselo que hay dentro o incluso el vehículo.

DENEGACIÓN DE SERVICIO. Aquí se trata de bloquear todas las comunicaciones de los automóviles conectados y, por lo tanto, representa un alto riesgo para la seguridad de las personas.

RECARGA ELÉCTRICA. Relativamente nuevo, el 'hacker' aprovecha para infectar el vehículo si está conectado a un poste de recarga, con el que intercambia información.

'e-CALL'. Si lo manipulan, en caso de un accidente puede que la asistencia médica se retrase o que no venga. También es factible engañar al GPS o forzarle a dar indicaciones erróneas y peligrosas.

MANEJO. Es una de las situaciones más delicadas. De forma remota, se toma el control de la dirección y los frenos: se altera o apaga el motor o la batería de un eléctrico; se anulan sistemas de seguridad, etc.

Concesionarios y talleres

Aunque la cosa no se detiene ahí, como señala Hernández, ya que las exigencias de ciberseguridad se irán extendiendo al resto de la cadena de valor, incluyendo concesionarios y talleres. Precisamente en abril entró en vigor el llamado procedimiento SERMI, solo exigible en la UE y que garantiza que los talleres (oficiales y multimarca) puedan realizar el mantenimiento y reparación de los vehículos sin comprometer su integridad.

Por su parte, la directiva 2022/2555 también de la Unión Europea señala a la industria de automoción como una de las «críticas» de cara a protegerla frente a ciberataques. Una categorización que también se hará extensible al sector del transporte por carretera.

Azucena Hernández, CEO de Eurocybcar
Azucena Hernández, CEO de Eurocybcar

"Podemos ser el equivalente de lo que hace EuroNCAP"

En enero de 2022, la moto eléctrica NUUK Cargopro se convirtió en la primera en lograr el certificado de ciberseguridad según la normativa UNECE R155 y la metodología de la compañía española Eurocybcar. Su CEO, Azucena Hernández, señala que ese paso fue decisivo para que la ONU haya decidido incluir a estos vehículos en una disposición de las que los había excluido de inicio.

Con una plantilla que llega ya a los 40 empleados, la compañía radicada en Vitoria trabaja también con cuerpos policiales como la Guardia Civil y la Ertzaintza. «Por ejemplo, para que verifiquemos si sus vehículos, entre los que están los de altos cargos, han sido sometidos a algún tipo de ataque». Uno de esos riesgos sería grabar las conversaciones que se mantienen en el interior del vehículo. En el caso de la policía autonómica vasca, acaban de ganar un contrato por un importe de 6,3 millones de euros para la «evaluación e implementación de medidas de ciberseguridad en los vehículos de la Ertzaintza», que será pionera en España en este aspecto.

Según la directiva, su compañía tiene «un potencial de negocio brutal» y dice gracias a su metodología podrían asimilarse al funcionamiento de EuroNCAP. Este organismo paneuropeo sin ánimo de lucro lleva desde el año 1997 midiendo la seguridad de los vehículos a través de distintos ensayos de choque. De ahí resulta una valoración -el máximo son cinco estrellas- según lo que proteja a ocupantes, ciclistas y peatones.

Назад