Ser el primer vehículo en el mundo en obtener el certificado de ciberseguridad
Después de que la normativa de seguridad UNECE/R155 entrada en vigor el 22 de enero del 2021, los vehículos homologados a partir de julio de 2022 y comercializados a partir de julio de 2024 deberán contar con el certificado de ciberseguridad.
Para ello, entidades externas a los fabricantes de vehículos serán quienes acrediten el cumplimiento de los requisitos marcados por el nuevo reglamento, sometiéndoles a una serie de evaluaciones. Con la entrada en vigor de esta nueva normativa, esta clase de servicio técnico externo debería ser cortado pata formalizar que un vehículo es ciberseguro.
Por su parte, la entidad escogida deberá demostrar que disponen de habilidades apropiadas, conocimientos técnicos específicos y experiencia probada en el campo que cubra cada normativa de la ONU, en este caso, el del reglamento UNECE/R155 de ciberseguridad para vehículos. Estas entidades autorizadas deberán ser previamente designadas por los fabricantes para realizar las pruebas de evaluación e inspecciones.
Con todo ello, la pregunta que cualquier fabricante podría realizarse es ¿cómo puedo cumplir con el reglamento? En este aspecto, la UNECE/R155 ha otorgado libertad a la hora de buscar soluciones para que una marca ejecute la normativa y sus modelos obtengan el certificado de seguridad requerido; por ejemplo, NUUK Mobility se ha decantado por recurrir a EUROCYBCAR, empresa tecnológica del País Vasco que realiza todo tipo de pruebas en su laboratorio ubicado en Vitoria-Gasteiz.
En él, los hackers, ingenieros IT, probadores de coches y CyberQTester realizan desde hace años la evaluación técnica de ciberseguridad -el Test EUROCYBCAR- a vehículos de organismos públicos, instituciones y OEMs.
Después de haber superado el test de EUROCYBCAR, AENOR auditará el cumplimiento y, posteriormente, emitirá un certificado de ciberseguridad para el modelo de moto eléctrica CargoPro, que tendrá una validez de 3 años.
Las pruebas que integran el test EUROCYBCAR para que un vehículo consiga su certificado de «Vehículo Ciberseguro»
El test de EUROCYBCAR, para cumplir con los requisitos de la UNECE/R155, realiza tres tipos de pruebas:
De acceso físico
El equipo de expertos de EUROCYBCAR comprueba, por ejemplo, si un ciberdelincuente podría manipular -a través del puerto OBD del vehículo- el airbag, sus frenos o su dirección; o si a través del puerto USB se puede introducir un virus que provoque la paralización de los sistemas del vehículo y ponga en riesgo la vida de los pasajeros.
De acceso remoto
Se analizan sistemas inalámbricos como la conexión Bluetooth -que permite enlazar el dispositivo móvil al vehículo para compartir sus datos-, WIFI -que proporciona conexión a internet a los dispositivos móviles de los pasajeros-, el eCall -llamada automática a emergencias en caso de accidente- o el sistemas keyless -que, por ejemplo, permite abrir o cerrar un coche sin necesidad de utilizar la llave- para comprobar su nivel de ciberseguridad y valorar si la seguridad del vehículo o los datos privados de los usuarios se está poniendo en riesgo.
De aplicaciones
Por último, se evalúan vulnerabilidades de las aplicaciones que ya están integradas en el vehículo, y también las apps oficiales de la marca que el usuario se descarga en su móvil.
Algunas de estas aplicaciones permiten al usuario controlar desde su smartphone diversos parámetros del vehículo -como encender la calefacción antes de entrar- o acceder a información almacenada en el vehículo -como el kilometraje o las rutas seguidas habitualmente por el conductor-. Esto, obviamente, es un peligro si un ciberdelincuente consigue vulnerar dichas aplicaciones, ya que podría acceder a sistemas del vehículo y llegar incluso a provocar un accidente.
Una vez que el vehículo se ha sometido al protocolo de pruebas de EUROCYBCAR y lo ha superado -siendo apto-, se le concede un certificado de ciberseguridad y se le otorga un «sello» con una nota que va del 3 al 5. Cuanto más alta sea, significará que el coche analizado dispone de un mayor nivel de protección. Esto es, que «será una garantía de que protege los datos que el vehículo almacena del usuario» cuando, por ejemplo, conecta su smartphone.
Y, sobre todo, una buena nota en el test también será sinónimo de que el vehículo en cuestión lleva implementadas las medidas adecuadas para evitar que alguien pueda tomar el control a distancia de sistemas como la dirección, los frenos, el motor… y causar accidentes con grave riesgo para la vida del conductor y los pasajeros, o la de los usuarios de la vía.
