En pocos años, la circulación de los vehículos cambiará radicalmente por la conducción autónoma. La conducción será aburrida pero, a cambio, ganaremos en seguridad, al menos, en teoría.
La conducción autónoma exige, necesariamente, la conexión de los vehículos a Internet, así como la instalación de soluciones de posicionamiento por satélite (GNSS) y sistemas avanzados de asistencia a la conducción (ADAS). Al mismo tiempo, resulta indispensable tener un software de posicionamiento para calcular la posición de los vehículos y avanzados algoritmos para organizar el tráfico.
La conexión de cualquier dispositivo a Internet, sin mediar medidas de seguridad, conlleva riesgos, y los vehículos no son una excepción. En 2015, dos investigadores de seguridad automotriz (Charlie Miller y Chris Valasek) manipularon, de forma remota, un vehículo conectado a Internet, mostrando diversas vulnerabilidades de seguridad, hasta tal punto que hicieron perder el control del vehículo a su conductor (fuente aquí).
En la actualidad, los vehículos han pasado de estar formados por elementos mecánicos e hidráulicos a estar formados por elementos eléctricos y electrónicos, los cuales pueden ser utilizados como nuevos vectores de ataque en el ecosistema de la movilidad conectada y automatizada. Los atacantes pueden comprometer los datos personales del usuario, amenazar los sistemas de seguridad de los vehículos y poner en riesgos a sus pasajeros y a otros ocupantes de la vía; por ello, es indispensable contrarrestar los riesgos con medidas de control efectivo.
La Administración Nacional de Seguridad del Tráfico en las Carreteras (NHTSA, por sus siglas en inglés, National Highway Traffic Safety Administration) que depende del gobierno de los Estados Unidos, una de las más importantes en materia de seguridad vial a nivel internacional, propone un enfoque por capas para la ciberseguridad de los vehículos, que incluye:
- Un proceso de identificación y protección basado en el riesgo y priorizado para los sistemas de control del vehículo que son críticos para la seguridad.
- Detección oportuna y respuesta rápida a posibles incidentes de ciberseguridad en vehículos.
- Arquitecturas, métodos y medidas diseñados como parte de las protecciones de ciberseguridad en capas para facilitar la recuperación rápida de incidentes cuando ocurren.
- Métodos para el intercambio de inteligencia e información en toda la industria automotriz para facilitar la adopción rápida de las lecciones aprendidas.
- Desarrollo de Auto-ISAC, un entorno industrial que enfatiza el conocimiento y la colaboración en la ciberseguridad en toda la industria automotriz.
Iniciativas en Europa
Conscientes de los problemas de seguridad que pueden tener los vehículos conectados a Internet, la Comisión Económica de las Naciones Unidas para Europa (CEPE) desarrolló los reglamentos UNECE WP.29 R155 y R156.
El UN R155 exige la implementación de un Sistema de Gestión de la Ciberseguridad (CSMS) certificado y el UN R156 exige un Sistema de Gestión de la Actualización del Software (SUMS) como futura condición para la homologación.
Tan exigentes son que Porsche anunció, a partir de la primavera de 2024, que dejará de vender en Europa el modelo MACAN de combustión y gas, por el elevado coste que supondría para la compañía actualizar el software de acuerdo a las exigencia de las referidas normas, que afectan a coches, furgonetas, autocaravanas, camiones, remolques y autobuses que se homologuen a partir de julio de 2022, así como a todos los que se comercialicen desde julio de 2024 en la Unión Europea y en los territorios adheridos a los Acuerdos y Convenios de Transporte de la UNECE de 1958 como Rusia, Japón, Corea del Sur, Sudáfrica y Australia. No se incluyen a las motocicletas.
Para obtener el certificado de ciberseguridad, en aplicación de la UNECE/R155, los vehículos deben superar tres tipos de pruebas: de acceso físico, de acceso remoto y de aplicaciones.
En las pruebas de acceso físico se comprueba, por ejemplo, si el vehículo se podría manipular los frenos o la dirección a través del puerto OBD, o si a través del puerto USB se puede introducir un virus que pudiera afectar a la seguridad del sistema. En las pruebas de acceso remoto se analizan sistemas inalámbricos como el sistema «keyless» que permite abrir y cerrar el coche sin necesidad de usar la llave o encender el motor. Por último, en las pruebas de aplicaciones se evalúan la vulnerabilidad de las aplicaciones integradas en el vehículo y las aplicaciones que el usuario puede descargar en su dispositivo móvil, como arrancar el motor de forma remota, bloquear y desbloquear las puertas o activar la climatización antes de llegar al vehículo.
En España solo EUROCYBCAR, con sede en Vitoria-Gasteiz (País Vasco), está capacitada para entregar el certificado de «Vehículo Ciberseguro» según la normativa UNECE/R155.
También se están desarrollando distintas iniciativas de normalización sobre la ciberseguridad en vehículos. Una de las más destacables es la iniciativa ISO/IEC JTC 1/SC 27 sobre «criterios de evaluación de la seguridad de la información de los vehículos conectados basados en la norma ISO/IEC 15408». En esta iniciativa se estudian los criterios y la metodología de evaluación de las tecnologías de los vehículos y los dispositivos conectados a Internet, se analizan sus amenazas y el objetivo de seguridad, así como la relación entre las características del vehículo conectado y la seguridad de la información y los requisitos de seguridad basados en dichas características.
Proyectos piloto en España
En España el coche autónomo echó a rodar en el año 2015. El primer recorrido se realizó el 23 de noviembre entre las ciudades de Vigo y Madrid, un recorrido de unos 600 km, en un Citroën Grand C4 Picasso equipado con sistema de posicionamiento GPS, cámaras digitales, sensores de ultrasonidos y radares. Dichos elementos permiten definir el recorrido y detectar obstáculos, peatones y vehículos, anticipándose a sus movimientos, además de ajustar la conducción a los límites de velocidad según la vía. La progresiva sensorización de los viales hará posible medir el nivel de humedad, la saturación del tráfico, la temperatura, el riesgo de deslizamientos…
La conducción autónoma avanza a pasos agigantados. El Centro Tecnológico de Automoción de Galicia (CTAG) está probando un vehículo sin conductor como eje fundamental del proyecto 5G-MOBIX, con el apoyo de la Dirección General de Tráfico, el Ministerio de Transportes, Movilidad y Agenda Urbana e Infraestructuras de Portugal. Las pruebas, que se desarrollarán a lo largo del año 2022 en el corredor transfronterizo España–Portugal que conecta las ciudades de Vigo y Oporto, que servirán para probar la conducción autónoma en entornos interurbanos y urbanos, además de probar maniobras como adelantamientos e incorporación a las vías rápidas.
En marzo de 2023 el Ministerio de Industria y el CTAG firmaron un protocolo para colaborar en el lanzamiento de la futura Red Española de Laboratorios para el Vehículo Autónomo y Conectado. Esta iniciativa se desarrolla a través del Proyecto Estratégico para la Recuperación y Transformación Económica del Vehículo Eléctrico y Conectado (PERTE VEC). El acuerdo incluye la creación de una pista de pruebas para los vehículos del futuro. El problema es que Portugal nos lleva años de adelanto, mostrándose como una alternativa real para las marcas, gracias al proyecto CELERATOR, con un circuito de 4.683 metros en el Autódromo Internacional do Algarve. El proyecto comprende, también, iniciativas relacionadas con vehículos autónomos, nuevos combustibles y reciclaje de baterías.
En Cereixal (Lugo) se inauguró en mayo de 2021 un túnel inteligente. Se trata del primer tramo de carretera de España conectado con una red 5G a los vehículos que la recorren. En el año 2024 está prevista la inauguración del primer tramo de autopista inteligente en la AP-8. Serán 57 kilómetros en el tramo que une Ermua y Ugaldebieta.
Experiencias en el mundo
En San Francisco (California) la empresa Cruise, propiedad de General Motors, puso en circulación más de ochenta taxis sin conductor o robotaxis, si bien han protagonizado múltiples incidentes, por los cuales el Departamento de Vehículos Motorizados de California decretó, en fecha 24 de octubre de 2023, la inmediata suspensión de los permisos de implementación y pruebas sin conductor de Cruise LLC hasta que resuelvan los problemas de seguridad. En junio de 2024, empezó a operar en San Francisco la empresa Waymo One.
Cruise no es la única empresa que presta este tipo de servicio. Hay otras como Motional, cuyos robotaxis están disponibles en el aeropuerto y el centro de Phoenix en Arizona durante las 24 horas del día los 7 días de la semana.
Ford lleva meses realizando pruebas limitadas con el sistema de conducción autónoma de Argo AI en Austin, Miami, Detroit, Palo Alto, Pittsburgh y Washington D.C.
En China los robotaxis de Baidu, Apollo Go, tienen permiso para circular en ciertas partes de las ciudades de Chongqing y Wuhan, en China. Baidu está en conversaciones con los gobiernos locales en Pekín, Shanghái y Shenzhen, para probar sus taxis robotizados sin conductor y gratuitos.
Ciberseguridad
Veremos que nos depara el futuro, pero lo que está claro es que si pensamos en proteger nuestros dispositivos informáticos, tanto o más importante es proteger los vehículos conectados a la Red, pues está en juego la seguridad de todos.
La Dirección General de Tráfico (DGT) nos advierte que es posible que alguien pueda manipular los frenos de un coche autónomo o arrancarlo sin la llave. Cuanto más sofisticados sean los vehículos y más conectados estemos, más probable es que seamos víctimas de los «crakers» (fuente: aquí).
Un informe reciente de la Agencia de Ciberseguridad de la Unión Europea (ENISA) y el Centro Común de Investigación (JRC) analiza los riesgos de ciberseguridad relacionados con la Inteligencia Artificial en vehículos autónomos y brinda recomendaciones para mitigarlos. Pueden consultar el informe haciendo clic aquí.
Más información
Panorama de amenazas sobre inteligencia artificial
Buenas Prácticas para la Seguridad de los Coches Inteligentes