A partir del próximo 6 de julio, ya no se podrán vender automóviles nuevos que no cumplan con las normas UNECE R155 y R156. Pero vamos a ver qué son estas normas y si los Reyes Magos me van a poder traer el V10 que les he pedido… o no.

La norma R155 es parte de un paquete legislativo promovido por la ONU y está diseñada para proteger los vehículos contra un posible ciberataque, asegurando una gestión eficiente de incidentes y vulnerabilidades que puedan surgir hasta el final de la vida útil del vehículo. Es decir, que no vamos a dejar de recibir actualizaciones de software aunque pasen 2 ó 3 años y ya exista una nueva versión de nuestro modelo como está pasando actualmente.

Por su parte, la R156 establece los requisitos para garantizar que esas actualizaciones de software o de firmware se realizan de forma segura, es decir, que no pueda haber un ciberdelincuente capturando ese paquete de software para modificarlo antes de que llegue a nuestro coche, que el código del software sea seguro y se encuentre correctamente auditado y que, por supuesto, la nueva actualización no incluya nuevos riesgos o vulnerabilidades.

Sí, sí, sí, todo eso está muy bien… pero ¿qué pasa con ese V10 de 560cv del 2015 que le he pedido a los Reyes en previsión de que este año voy a ser muy bueno?

Las normas solo aplican a vehículos cuya homologación haya sido posterior a julio de 2022 y a los modelos que se fabriquen después del 6 de julio de 2024. En GMV hemos estado trabajando en esta línea con un conocido fabricante de autobuses que ha homologado 4 nuevos modelos y sobre los que hemos tenido que hacer distintas actividades como un análisis de riesgos detallado (TARA) y un pentest muy específico para comprobar que los riesgos identificados en el TARA se trataban correctamente… vamos, que no se podía subir un ciberdelincuente en la parada de Plaza de Castilla de Madrid, sentarse en la última fila con su sudadera con capucha y realizar una denegación de servicio al autobús entero que nos haga llegar tarde a la oficina o poner la calefacción a tope para que sudemos como pollos.

Es decir, que sí que le puedo pedir a los Reyes ese V10 matriculado en 2015… aunque seguramente las normas medioambientales de mi ciudad no me dejen moverlo.

No todos los países han aceptado la obligatoriedad de estas normas ya que, por ejemplo, Japón y Corea del Sur la han adoptado sin problemas más allá de los países europeos, pero Estados Unidos está más alineado con directrices y estándares desarrollados por organismos nacionales e internacionales, como la ISO/SAE 21434. Al final, la ISO/SAE 21434 nos proporciona un marco detallado para gestionar la ciberseguridad en los vehículos en su ciclo de vida, desde el diseño y desarrollo hasta la puesta en producción, mantenimiento y desmantelamiento cuando acabe su vida útil. 

La verdad es que es un estándar muy interesante, aunque al contrario que sus primas-hermanas la R155 y la R156, no es de obligado cumplimiento por sí misma, sino que se trata de un estándar internacional voluntario desarrollado por la Organización Internacional de Normalización (ISO) y la Sociedad de Ingenieros Automotrices (SAE). Sin embargo, su adopción puede ser obligatoria o necesaria indirectamente a través de regulaciones (si por ejemplo se exportan vehículos a Europa), requisitos de mercado, o contratos específicos en la industria automotriz.

Además de todo esto, cabe destacar que GMV ha sido pionero en formarse en todas estas normas y regulaciones y actualmente tenemos un potente equipo capaz de ayudar a los fabricantes en todo el proceso de validación de nuevos vehículos, donde podemos desde revisar el TARA proporcionado por el fabricante hasta realizar todas las pruebas de intrusión necesarias para validar los riesgos identificados y, en muchas ocasiones, encontrar nuevas vulnerabilidades no identificadas previamente por el fabricante. Esta es la parte más divertida.

Ni qué decir tiene que el V10 de 2015 que comentábamos antes adolece de un montón de vulnerabilidades propias de la red intravehicular que no se parchearon nunca… pero como en 2015 los vehículos no estaban conectados con el mundo exterior, la medida de protección más efectiva que podemos aplicar es no dejarle las llaves a nadie.

Autor: Carlos Sahuquillo