ciberseguridad coches conectados
Últimas NoticiasTecnología

El riesgo invisible del coche conectado que amenaza a las flotas

El reglamento UNECE R155 obliga desde julio de 2024 a homologar la ciberseguridad de los coches nuevos en la UE. Pero el parque anterior queda fuera, y las flotas son hoy el objetivo prioritario de los ataques.

Antonio Medina
Por Antonio Medina

Tu coche genera hasta 25 GB de datos por hora mientras conduces, y eso lo convierte en un objetivo apetecible para cualquiera que sepa moverse entre líneas de código. No es ciencia ficción ni una distopía de Netflix. Es lo que está pasando ahora mismo en cada vehículo conectado que circula por la M-30, por la AP-7 o por el polígono donde aparcas la furgoneta de empresa.

Y sí, te afecta más de lo que crees. Sobre todo si gestionas una flota.

Qué datos genera tu coche y por qué los quieren los hackers

Un coche moderno no es un coche. Es un ordenador con ruedas. La ECU central, los sistemas ADAS (asistentes avanzados a la conducción, como la frenada autónoma o el mantenimiento de carril), el infoentretenimiento, el GPS, la conexión 4G del propio fabricante, la app del móvil que abre el coche en remoto. Todo eso emite y recibe información sin parar.

Publicidad

¿Qué tipo de datos? Posición exacta en tiempo real, hábitos de conducción, contactos sincronizados desde el móvil, rutas habituales, paradas frecuentes, contraseñas guardadas en perfiles, datos biométricos en modelos premium con reconocimiento facial. En una flota de reparto, además, los horarios completos del conductor, los puntos de entrega y los patrones logísticos de la empresa.

Eso vale dinero. Mucho dinero. Y no solo en la dark web: lo quieren competidores industriales, mafias del robo de vehículos por encargo y, en casos documentados, hasta atacantes que piden rescate para devolverte el control del coche.

La normativa R155 que obliga a los fabricantes desde 2024

Aquí entra en juego la norma UNECE R155, en vigor en la Unión Europea desde julio de 2024 para todos los vehículos nuevos homologados. Lo que dice, en román paladino, es que ningún coche puede salir de fábrica sin un sistema de gestión de ciberseguridad certificado. La marca tiene que demostrar que ha analizado los riesgos, ha puesto contramedidas y mantiene un proceso de actualización durante toda la vida del vehículo.

El detalle se puede consultar en la web oficial de UNECE sobre regulaciones de vehículos, donde están los textos completos. Ojo a esto: la R155 obliga al fabricante, no a ti. Si compras un coche homologado después de esa fecha, el blindaje viene de serie. Si tu flota tiene vehículos de 2021 o 2022, estás fuera del paraguas.

hackeo coches flota

Y ahí es donde aparece el agujero. Marcas como Volkswagen, Toyota o Renault han retirado modelos del mercado europeo o han retrasado lanzamientos por no llegar a tiempo a la certificación. Otros fabricantes han reconocido vulnerabilidades en sus apps oficiales que permitían localizar y, en algún caso, abrir vehículos a distancia.

Por qué las flotas son el objetivo número uno y qué se hace mal

Si tienes 5 coches de empresa, eres un objetivo. Si tienes 50, eres un objetivo prioritario. Si tienes 500, ya hay alguien estudiándote. Lo digo sin dramatismo: las flotas concentran datos sensibles, suelen llevar telemática conectada al servidor de la empresa y, en muchos casos, comparten claves de acceso entre conductores.

Publicidad

El problema serio es que el sector se está tomando esto como se tomó la RGPD en 2018: tarde, mal y a regañadientes. Hablo con responsables de flotas que aún no saben qué SOC (centro de operaciones de seguridad) cubre sus vehículos, ni si su renting incluye actualizaciones de firmware, ni qué pasa con los datos cuando devuelven el coche al final del contrato.

Mi opinión, después de ver el percal: la R155 está bien planteada pero llega corta. Cubre vehículos nuevos y deja un parque enorme de coches conectados anteriores a 2024 sin obligación retroactiva. En Estados Unidos, el debate ya va por exigir auditorías periódicas a flotas comerciales, y la UE tendrá que seguir ese camino antes de 2028. Mientras tanto, la responsabilidad de proteger los datos de tu negocio es tuya. Aunque el coche lo conduzca otro.

Publicidad

El próximo paquete de la Comisión Europea sobre movilidad conectada, previsto para finales de 2026, debería abordar precisamente este vacío. Atento a los borradores que se publiquen en otoño.

Información útil para el conductor

  • Base legal: Reglamento UNECE R155, en vigor en la UE desde julio de 2024 para vehículos nuevos homologados.
  • Riesgo principal: robo de datos personales, geolocalización en tiempo real y, en casos extremos, toma de control remota de funciones del vehículo.
  • Consejo de Motor16: revisa las apps oficiales del fabricante, desactiva permisos innecesarios y exige a tu compañía de renting un protocolo de borrado de datos al devolver el coche.
  • Alerta para flotas: separa las claves de acceso por conductor, no compartas perfiles y solicita por escrito la política de actualizaciones de firmware del proveedor.
  • Curiosidad: Japón aplica una norma equivalente desde 2022 y obliga, además, a notificar incidentes de ciberseguridad en menos de 72 horas, algo que la UE aún no exige.
Artículo anterior
surtidor gasolina repostando deposito
Italia prorroga la rebaja del diésel hasta el 22 de mayo
Publicidad