El antivirus en los coches se convierte en una obligación

Security Awareness
2 agosto 2023
Obbligo Antivirus in auto

Europa promulga dos nuevos reglamentos para estandarizar el equipamiento antivirus de los coches. Los fabricantes de automóviles inmersos en el caos..

Corría el año 2017 cuando se estrenó en los cines la película «Monolith».
Se trata de un «thriller» sobre una mujer, Sandra, que tras descubrir la traición de su marido, emprende un viaje junto con su hijo de dos años en un Monolith, un coche supertecnológico, blindado y dotado de inteligencia artificial, que aconseja a la mujer tomar una ruta perdida para evitar el tráfico. En un momento de distracción, la mujer atropella a un ciervo, por lo que se detiene y baja a comprobar el vehículo, mientras le deja el teléfono a su hijo para que se entretenga y no llore. El niño, sin querer, comienza a tocar los botones de la aplicación con la que se controla el coche, hasta bloquearlo desde dentro, sellándolo por completo.
Él se queda dentro y la madre fuera.

Comienza así el calvario de la mujer que, en medio de la nada, debe hacer todo lo posible para liberar a su hijo cautivo en una máquina búnker.

Han pasado seis años desde el estreno de esta película que parecía dibujar una realidad vanguardista y de ciencia ficción. Sin embargo, si la vemos a día de hoy, esta historia no está tan lejos de la realidad.

De hecho, somos conscientes de que los nuevos coches son un concentrado de tecnología y mucho más que un simple medio de transporte. Son verdaderas centrales de información, conectadas con numerosos sistemas integrados que lo regulan todo, desde el control del motor hasta la navegación por satélite. Por ejemplo, un solo automóvil contiene alrededor de 100 millones de líneas de código de «software» que gestionan su funcionamiento. En resumen, al igual que nos hemos olvidado del viejo teléfono que servía «solo» para hacer y recibir llamadas, el viejo coche inventado para llevarnos simplemente sobre cuatro ruedas de un lugar a otro nos parece un objeto de época.

Toda esta tecnología tiene sin duda un encanto al que es difícil resistirse.
Ya no hay que pensar en buscar el camino, ni sufrir tortícolis por aparcar o dar marcha atrás, ni cansar los músculos de la muñeca para cambiar de marcha, podemos elegir sin esfuerzo la temperatura adecuada, la velocidad ideal, la música perfecta para cada tipo de viajee incluso ver una película en el monitor del salpicadero, mientras el coche conduce de forma autónoma por la ruta indicada.
¿Hay algo más cómodo? Además, ¿quién cambiaría su «smartphone» por un teléfono viejo sin conexión y sin aplicaciones?

Pero sabemos perfectamente que no siempre es oro todo lo que reluce. Y sobre todo lo saben los ciberdelincuentes, que aprovechan cualquier oportunidad para introducirse en la vida de los usuarios y robar sus datos más sensibles o, en casos extremos, hacerse con el control de las funcionalidades del vehículo.

Con actualizaciones OTA («over-the-air») casi diarias, cualquier vehículo (incluso comercial) podría ser objeto de ataques informáticos continuos, que podrían poner en riesgo la seguridad de los ocupantes y del resto de usuarios de la carretera.

La consciencia de que la ciberdelincuencia también afecta a los automóviles se ha generalizado. Tanto es así que la propia Comisión Europea ha tomado medidas correctivas al promulgar dos reglamentos que tienen como objetivo estandarizar el equipamiento «antivirus» de los coches.

Los reglamentos de la ONU n.º 155 y n.º 156, que llevan por nombre Uniform provisions concerning the approval of vehicles with regards to cybersecurity and cybersecurity management system (Disposiciones uniformes relativas a la homologación de los vehículos de motor en lo que respecta a la ciberseguridad y al sistema de gestión de esta), afectan, por lo tanto, a todas las empresas europeas que fabrican automóviles, están en vigor para los nuevos modelos presentados a partir de julio de 2022 y serán obligatorios para los vehículos nuevos producidos a partir de julio de 2024..

Estos reglamentos imponen a los fabricantes de automóviles la adopción de varios niveles y medidas de protección para prevenir posibles ataques. Incluyen, por ejemplo, la reescritura de partes del código de control del sistema interno de cada vehículo para evitar la entrada de «software» malicioso, tanto a través de la red como del sistema de diagnóstico Canbus.

Las normativas incorporan medidas de protección específicas, como la implementación de actualizaciones de «software» constantes, seguras y protegidas.

Pero estas nuevas normativas plantean importantes problemas y suponen grandes inversiones para los fabricantes de automóviles y los proveedores de «software», que deben cumplir estrictamente con estos reglamentos, sin posibilidad de modificación. Esto es así porque las normas lo abarcan prácticamente todo, desde la gestión de los riesgos informáticos a lo largo de la cadena de suministro hasta la distribución de actualizaciones de «software» seguras y protegidas.

De hecho, compañías como Bosch y Continental, líderes en el mercado de la automoción, han expresado su preocupación por la necesidad de tener que revisar y tal vez reescribir desde cero una ingente cantidad de códigos de «software», una operación que implica grandes gastos e inversiones no previstas.

Al mismo tiempo, Thomas Schafer, director ejecutivo del Grupo Volkswagen, ha anunciado la interrupción de la producción del coche urbano eléctrico e-UP! a mediados de 2024, debido a los prohibitivos costes asociados a la actualización del sistema electrónico del vehículo.

«Para mantenerlo en producción tendríamos que integrar una arquitectura electrónica completamente nueva. Habría sido demasiado caro. Por lo tanto, ha sido mejor desarrollar de inmediato un nuevo vehículo», ha explicado.

Sea como sea, una cosa es segura: los mayores costes asociados al cumplimiento de los nuevos reglamentos se traducirán en un aumento de los precios de los automóviles en Europa, que se repercutirán a los consumidores. La moneda está, por tanto, en el aire, pues todo dependerá en gran medida de cómo responda el mercado.

Sin duda, un consumidor atento y adecuadamente formado en ciberseguridad será menos propenso a convertirse en víctima de este nuevo tipo de ataques, de los que tendremos que defendernos en un futuro muy cercano.
Nos hemos convertido en seres conectados. Desde los teléfonos hasta los ordenadores, pasando por los electrodomésticos y los coches. La tecnología forma parte de nuestras vidas, casi como el aire que respiramos. A menos que decidamos vivir aislados en la cima de una montaña, el desconocimiento de las medidas de defensa contra la ciberdelincuencia es un lujo que ya no nos podemos permitir.

Suscríbete al boletín

Artículos relacionados