ciberseguridad coches conectados
Últimas NoticiasTecnología

La normativa que obliga a blindar tu coche frente a hackers

El reglamento UNECE R155 obliga desde julio de 2024 a certificar la ciberseguridad de todos los coches conectados que se vendan en la UE. Sin ese sello, el vehículo no se matricula, y la norma marca cómo se protegen tus datos y tu volante frente a un hackeo.

Antonio Medina
Por Antonio Medina

Tu coche puede ser hackeado. Y desde julio de 2024, Bruselas obliga a los fabricantes a demostrar que han hecho los deberes para impedirlo. La norma se llama UNECE R155 y está cambiando la forma en que se diseñan, homologan y venden los coches conectados en toda la Unión Europea.

Te lo cuento claro: si el modelo que tienes en mente comprar no cumple esta certificación, no se matricula. Da igual que sea un eléctrico chino, un SUV alemán o una berlina premium japonesa. Sin sello de ciberseguridad, no entra en concesionario.

Qué dice exactamente la UNECE R155

La norma nace en el seno de la Comisión Económica para Europa de Naciones Unidas y obliga a los fabricantes a implantar un Cyber Security Management System (CSMS, sistema de gestión de ciberseguridad) que cubra todo el ciclo de vida del vehículo: diseño, producción, postventa y desguace.

Publicidad

En la práctica, la marca tiene que demostrar tres cosas ante el organismo homologador. Primero, que ha identificado los riesgos de hackeo de cada modelo. Segundo, que ha implantado contramedidas reales (cifrado de comunicaciones, autenticación de actualizaciones, monitorización de intrusiones). Tercero, que puede reaccionar si aparece una vulnerabilidad cuando el coche ya está en la calle, con parches OTA (over the air, actualizaciones inalámbricas) en plazo razonable.

La regulación oficial publicada por UNECE entró en vigor para modelos nuevos en julio de 2022 y se extendió a TODOS los vehículos en producción desde julio de 2024. Es decir, no hay margen: cualquier coche que hoy salga de fábrica para venderse en la UE debe llevar su certificado.

Por qué te afecta aunque no seas un manitas de la informática

Los coches modernos tienen entre 70 y 150 unidades de control electrónicas. Cada una es una puerta potencial. Se han documentado ataques que van desde el robo silencioso por amplificación de la llave (el famoso relay attack) hasta intrusiones que toman control del frenado o la dirección a través del sistema de infoentretenimiento.

¿Qué cambia para ti con la R155? Cosas muy concretas:

  • Las actualizaciones de software de tu coche llegan firmadas y verificadas, no se pueden manipular en el camino.
  • El acceso al puerto OBD2 (el conector de diagnóstico) está más blindado, lo que dificulta el robo electrónico.
  • Si aparece un fallo de seguridad grave, el fabricante está obligado a notificarlo y parchearlo, igual que con un recall mecánico.
  • Los datos que tu coche envía (geolocalización, hábitos de conducción, contactos del móvil sincronizado) tienen que viajar cifrados.

Ojo con esto: la norma no impide que el fabricante recoja datos. Eso lo regula el RGPD. Lo que impide es que esos datos viajen sin protección o que un tercero pueda interceptarlos.

UNECE R155

Lo que el sector aún no ha resuelto del todo

Aquí toca opinar, y opino con datos. La R155 es un avance enorme, pero tiene flecos. El primero: los modelos previos a julio de 2022. Si tu coche es de 2020 o 2021, no está obligado a cumplir nada de esto. Y la flota circulante en España supera los 25 millones de vehículos, según los datos públicos de matriculaciones de ANFAC. La mayoría no tiene CSMS ni lo va a tener nunca.

Publicidad

Segundo flec, los plazos de parcheo. La norma exige que el fabricante reaccione, pero no fija un máximo concreto en horas o días para publicar el parche. En el mundo del software puro, una vulnerabilidad crítica se parchea en 24-72 horas. En automoción, hemos visto casos en los que pasaron meses. Eso es mucho tiempo con un coche conectado a internet por la calle.

Tercero: la diferencia entre marcas. Las europeas y japonesas llevan años preparándose. Algunas marcas chinas que están aterrizando ahora en Europa han tenido que rehacer arquitecturas enteras de software para cumplir, y eso explica retrasos en lanzamientos que hemos visto durante 2025. La R155 es, de facto, una barrera de entrada al mercado europeo. Buena noticia para la seguridad del conductor; mala para quien esperaba un eléctrico chino más barato y se lo encuentra atrasado seis meses.

Publicidad

El siguiente hito está marcado en el calendario: la revisión que se debate en Ginebra durante el segundo semestre de 2026, donde se discutirá ampliar la norma a vehículos pesados de manera más estricta y reforzar los plazos de respuesta ante vulnerabilidades. Atento, porque ahí se juega cómo de seguro será tu próximo coche.

Información útil para el conductor

  • Base legal: Reglamento UNECE R155 sobre ciberseguridad y CSMS, obligatorio en la UE para todos los vehículos en producción desde julio de 2024.
  • A quién afecta: a cualquier turismo, furgoneta o vehículo conectado nuevo matriculado en la UE. Los modelos anteriores no están obligados.
  • Qué exige: sistema de gestión de ciberseguridad certificado, actualizaciones OTA firmadas, cifrado de comunicaciones y plan de respuesta ante vulnerabilidades.
  • Consejo de Merca2 Motor: antes de comprar, pregunta en concesionario por el certificado R155 del modelo y por la política de actualizaciones de software. Si no saben responderte, mala señal.
  • Curiosidad: Reino Unido, Japón y Corea del Sur han adoptado la misma norma, lo que la convierte de facto en estándar global. Estados Unidos va por su cuenta con guías de la NHTSA menos exigentes.
Artículo anterior
BMW Serie 7 Dual-Finish
BMW Serie 7 Dual-Finish: la pintura que prohíbe el autolavado
Publicidad