En la Unión Europea, deberán cumplir la normativa los vehículos que se homologuen a partir de julio de 2022, obligación que se extenderá a todos los vehículos nuevos que se vendan en este territorio a partir del 1 de julio de 2024.
Para Azucena Hernández, CEO de la empresa Eurocybcar, esta regulación es drástica, pero muy necesaria. “Los vehículos son grandes ordenadores con ruedas y deben protegerse, como mínimo, igual que se protege un móvil o un portátil. Las consecuencias de que no estén bien ciberprotegidos pueden ser trágicas, no sólo a causa de un ciberataque premeditado, sino por un mal uso del propio usuario: puede producirse por algo tan sencillo como descargar música de una web de Internet en un pendrive, conectar ese pendrive al puerto USB de nuestro coche y que, al hacerlo, estemos introduciendo en realidad, y de forma inadvertida, un virus o un ‘malware’ que bloquee el sistema operativo del vehículo, provocando que el coche se pare por completo mientras circula, con el riesgo que eso podría conllevar”.
Protegidos frente a 70 vulnerabilidades
Para lograr el certificado de ciberseguridad, los fabricantes deberán demostrar que sus modelos están protegidos frente a 70 vulnerabilidades. Ese listado de riesgos a evitar incluye posibles ciberataques durante el desarrollo, producción y posproducción del vehículo, por lo que aquellos modelos que logren el certificado estarán protegidos a lo largo de todo su ciclo de vida. Además, se especifica que debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo analizado cumple esos requisitos.
En el caso de que algún fabricante ponga a la venta en la UE un vehículo que no cumpla con la normativa ONU/Unece WP.29 o se demuestre que engañaron a la entidad autorizada para obtener el certificado de manera irregular, se enfrentaría a sanciones de hasta 30.000 euros por vehículo y se podría retirar o suspender la homologación de los modelos afectados -lo cual impediría que se pudiesen vender-.
No obstante, según Eurocybcar, la normativa no detalla qué medidas deben tomar los fabricantes para hacer frente a esas 70 amenazas. Tampoco indica qué tipo de pruebas se deben realizar para saber si un vehículo puede obtener el certificado "APTO" de ciberseguridad.
