Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Conducción autónoma y ciberseguridad

Puede que, en no muchos años, veamos circulando por nuestras carreteras vehículos autónomos, hasta puede que tengamos uno en un futuro, aunque la conducción se volverá aburrida. A cambio, dicen que ganaremos en seguridad.

La conducción autónoma exige, necesariamente, la conexión de los vehículos a Internet, así como la instalación de soluciones de posicionamiento por satélite (GNSS) y sistemas avanzados de asistencia a la conducción (ADAS). Al mismo tiempo, resulta indispensable tener un software de posicionamiento para calcular la posición de los vehículos y avanzados algoritmos para organizar el tráfico.

La conexión de cualquier dispositivo a Internet, sin mediar medidas de seguridad adecuadas, implica riesgos, y los vehículos no son una excepción. En 2015, dos investigadores de seguridad automotriz –Charlie Miller y Chris Valasek– manipularon, de forma remota, un vehículo conectado a Internet, mostrando diversas vulnerabilidades de seguridad, hasta tal punto que hicieron perder el control del vehículo a su conductor (fuente aquí).  

En la actualidad, los vehículos han pasado de estar formados por elementos mecánicos e hidráulicos a estar formados por elementos eléctricos y electrónicos, los cuales pueden ser utilizados como nuevos vectores de ataque en el ecosistema de la movilidad conectada y automatizada. Los atacantes podrían comprometer los datos personales del usuario, amenazar los sistemas de seguridad de los vehículos y poner en riesgos a sus pasajeros y a otros ocupantes de la vía; por ello, es indispensable contrarrestar los riesgos con medidas de control efectivo.

La Administración Nacional de Seguridad del Tráfico en las Carreteras (NHTSA, por sus siglas en inglés, National Highway Traffic Safety Administration) que depende del gobierno de los Estados Unidos, una de las más importantes en materia de seguridad vial a nivel internacional, propone un enfoque por capas para la ciberseguridad de los vehículos, que incluye:

  1. Un proceso de identificación y protección basado en el riesgo y priorizado para los sistemas de control del vehículo que son críticos para la seguridad.
  2. Detección oportuna y respuesta rápida a posibles incidentes de ciberseguridad en vehículos.
  3. Arquitecturas, métodos y medidas diseñados como parte de las protecciones de ciberseguridad en capas para facilitar la recuperación rápida de incidentes cuando ocurren.
  4. Métodos para el intercambio de inteligencia e información en toda la industria automotriz para facilitar la adopción rápida de las lecciones aprendidas.
  5. Desarrollo de Auto-ISAC, un entorno industrial que enfatiza el conocimiento y la colaboración en la ciberseguridad en toda la industria automotriz.

Iniciativas en Europa 

Conscientes de los riesgos de ciberseguridad que pueden tener los vehículos conectados a Internet, la Comisión Económica de las Naciones Unidas para Europa (UNECE) desarrolló los reglamentos WP.29 R155 y R156.

El UN R155 exige la implementación de un Sistema de Gestión de la Ciberseguridad (CSMS) certificado y el UN R156 exige un Sistema de Gestión de la Actualización del Software (SUMS) como futura condición para la homologación.

Estas normativas son tan exigentes que Porsche decidió discontinuar las ventas del modelo MACAN con motor de combustión interna en la Unión Europea, por el elevado coste que supondría para la compañía actualizar el software de acuerdo a las exigencia de las referidas normas, que afectan a coches, furgonetas, autocaravanas, camiones, remolques y autobuses que se homologuen a partir de julio de 2022, así como a todos los que se comercialicen desde julio de 2024 en la Unión Europea y en los territorios adheridos a los Acuerdos y Convenios de Transporte de la UNECE de 1958 como Rusia, Japón, Corea del Sur, Sudáfrica y Australia. No se incluyen a las motocicletas.

Para obtener el certificado de ciberseguridad según la UNECE R155, los vehículos deben superar tres tipos de pruebas: acceso físico, acceso remoto y de aplicaciones. En las pruebas de acceso físico se comprueba, por ejemplo, si se pueden manipular los frenos o la dirección a través del puerto OBD, o si un virus podría introducirse vía USB afectando a la seguridad del sistema. En las pruebas de acceso remoto se analizan sistemas inalámbricos como el sistema «keyless» que permite abrir y cerrar el coche sin necesidad de usar la llave o encender el motor. Finalmente, en las pruebas de aplicaciones se evalúan la vulnerabilidad de las aplicaciones integradas en el vehículo y las aplicaciones que el usuario puede descargar en su dispositivo móvil, como arrancar el motor de forma remota, bloquear y desbloquear las puertas o activar la climatización antes de llegar al vehículo.

En España, solo EUROCYBCAR, con sede en Vitoria-Gasteiz (País Vasco), está capacitada para entregar el certificado de «Vehículo Ciberseguro» según la normativa UNECE R155. 

También se están desarrollando distintas iniciativas de normalización sobre la ciberseguridad en vehículos. Una de las más destacables es la iniciativa ISO/IEC JTC 1/SC 27 sobre «criterios de evaluación de la seguridad de la información de los vehículos conectados basados en la norma ISO/IEC 15408». En esta iniciativa se estudian los criterios y la metodología de evaluación de las tecnologías de los vehículos y los dispositivos conectados a Internet, se analizan sus amenazas y el objetivo de seguridad, así como la relación entre las características del vehículo conectado y la seguridad de la información y los requisitos de seguridad basados en dichas características. 

Proyectos piloto en España

En España, el coche autónomo echó a rodar en el año 2015. El primer recorrido se realizó el 23 de noviembre entre Vigo y Madrid, un recorrido de unos 600 km, en un Citroën Grand C4 Picasso equipado con sistema de posicionamiento GPS, cámaras digitales, sensores de ultrasonidos y radares, que permitieron definir el recorrido y detectar obstáculos, peatones y vehículos, anticipándose a sus movimientos, además de ajustar la conducción a los límites de velocidad de la vía. La progresiva sensorización de las carreteras hará posible medir humedad, saturación del tráfico, temperatura y riesgos como deslizamientos. 

Vehículo autónomo de Citroën en su recorrido entre Vigo y Madrid

La conducción autónoma progresa rápidamente. El Centro Tecnológico de Automoción de Galicia (CTAG) probó vehículos sin conductor en el proyecto 5G-MOBIX, con apoyo de la Dirección General de Tráfico (DGT) y el Ministerio de Transportes, Movilidad y Agenda Urbana e Infraestructuras de Portugal. Las pruebas se desarrollaron en 2022 en el corredor transfronterizo Vigo–Oporto. Evaluaron la conducción autónoma en entornos interurbanos y urbanos, incluyendo adelantamientos e incorporaciones a vías rápidas.

España avanza con nuevos proyectos como el de Sesé e IVECO en Zaragoza para vehículos pesados autónomos y el bus autónomo «e-Centro» de Otokar en Mercamadrid.

En marzo de 2023, el Ministerio de Industria y el CTAG firmaron un protocolo para lanzar la Red Española de Laboratorios para el Vehículo Autónomo y Conectado. Esta iniciativa se desarrolla a través del Proyecto Estratégico para la Recuperación y Transformación Económica del Vehículo Eléctrico y Conectado (PERTE VEC). El acuerdo incluye la creación de una pista de pruebas para los vehículos del futuro. Portugal nos lleva años de adelanto, mostrándose como una alternativa real para las marcas, gracias al proyecto CELERATOR, con un circuito de 4.683 metros en el Autódromo Internacional do Algarve. 

En Cereixal (Lugo), se inauguró en mayo de 2021 el primer túnel inteligente de España conectado con 5G a los vehículos. En 2024, se activó el primer tramo de autopista inteligente en la AP-8 (57 kilómetros entre Ermua y Ugaldebieta). 

España avanza con nuevos proyectos como el de Sesé e IVECO para vehículos pesados autónomos y el bus autónomo e-Centro de Otokar en Mercamadrid.

Bus autónomo e-Centro de Otokar

Experiencias en el mundo

En San Francisco (California), la empresa Cruise, de General Motors (GM), puso en circulación más de ochenta taxis sin conductor (robotaxis). Los vehículos protagonizaron más de un incidente, por los cuales el Departamento de Vehículos Motorizados de California decretó el 24 de octubre de 2023 la inmediata suspensión de los permisos, hasta que resolvieran los problemas de seguridad. En diciembre de 2024, GM cerró el proyecto Cruise por altos costos y competencia, si bien en junio del mismo año, Waymo One empezó a operar, con normalidad. Hay otras compañóas de robotaxis operando, por ejemplo, Motional tiene robotaxis en el aeropuerto y el centro de Phoenix (Arizona) que operan 24/7.

En China, los robotaxis de Baidu, Apollo Go, tienen permiso para circular en ciertas partes de las ciudades de Chongqing y Wuhan. Baidu está en conversaciones con los gobiernos locales en Pekín, Shanghái y Shenzhen, para utilizar sus robotaxis. La compañía planea expandir sus operaciones a 100 ciudades para 2030.

En diciembre de 2025, Uber anunció un acuerdo con Baidu para probar sus robotaxis en Londres a partir de 2026. Ya tienen robotaxis circulando en Suiza, Abu Dhabi y Dubai. Por su parte, Waimo de Alphabet (Google) ya tiene robotaxis circulando en Londres en fase de pruebas.

Según Baidu, el coste de venta de un robotaxi es de apenas 204.600 yuanes, poco más de 26.000 euros al cambio de moneda. Por ese precio, en España, apenas se puede comprar un utilitario. Además, su puesta en servicio tiene un ahorro considerable, al no haber costes de personal, solo de mantenimiento del vehículo.

Robotaxi Waymo

Ciberseguridad

El 27 de diciembre de 2024, el semanario alemán Der Spiegel descubrió un ciberataque al grupo Volkswagen por un problema informático de seguridad que habría dejado al descubierto los datos de 800.000 usuarios, clientes de vehículos eléctricos las marcas Audi, Volkswagen, Seat y Skoda. La brecha de seguridad se localizó en el sistema de almacenamiento de datos de Cariad, la división de software de la compañía. Los datos personales, entre otros, los de geolocalización, estaban almacenados en la nube de Amazon sin cifrar. Los atacantes podrían obtener perfiles de movimiento detallados de los usuarios de los vehículos a partir de los datos robados. La brecha fue descubierta por Chaos Computer Club, un grupo de hackers ético. La compañía subsanó el problema de manera inmediata.

Un informe de la Agencia de Ciberseguridad de la Unión Europea (ENISA) y el Centro Común de Investigación (JRC) analiza diversos riesgos de ciberseguridad relacionados con la inteligencia artificial para vehículos autónomos, ofreciendo recomendaciones para mitigarlos. Pueden consultar el informe haciendo clic aquí,

Cuánto más sofisticados sean los vehículos y más conectados estén, más riesgos asumiremos. La DGT ya advierte que, es posible, que se puedan manipular (fuente: aquí).

Conclusión

Veremos qué nos depara el futuro, pero lo que está claro es que, si pensamos en proteger nuestros dispositivos informáticos, igual o más importante es proteger los vehículos conectados a la red, ya que está en juego la seguridad de todos.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es