La necesidad de desplazarse ya no es una motivación aislada para la compra de un coche. Ni siquiera esta es la única forma de acceder al mismo, ya que uno puede alquilar o suscribirse a un vehículo. Al placer de conducir, que tan bien representó BMW en aquella campaña ideada por SCPF, se le han sumado múltiples funciones demandadas por el consumidor que han convertido al coche conectado en un sofisticado gadget. Un vehículo es ahora un proveedor de servicios y generador de datos que mantiene una relación activa con el conductor.

Una clave de este vínculo está en la seguridad. Ya no solo somos nosotros los que frenamos para evitar un accidente, sino que el propio vehículo interviene en caso de que nos despistemos. Y si no consigue evitar el impacto, llama a los servicios de emergencias con el sistema eCall, obligatorio en todos los coches nuevos desde 2018. Los vehículos también nos ayudan a aparcar, nos mantienen en la trayectoria cuando atravesamos un tramo de curvas y nos avisan para que tomemos un descanso.

Aunque hay otras funciones menos trascendentales, pero igualmente útiles, como poder encender la calefacción de casa desde la interfaz del vehículo conectado, que escoge una iluminación interior relajante después de un día de trabajo o que es capaz de elegir la música que mejor se adapta a nuestro estado de ánimo, como sucede, por ejemplo, con el sistema MBUX de Mercedes-Benz.

Pero esto es solo el principio de todas las capacidades de un vehículo desde el que se podrá comprar online, al que se accederá sin llave o que se autodiagnosticará para prevenir visitas innecesarias al taller. Incluso en un futuro un poco más lejano podría suprimir el volante para convertir su habitáculo en una oficina o en un salón rodante, dos escenarios del último nivel de desarrollo de la conducción autónoma. 

Son todas realidades que ni Henry Ford ni Karl Firederich Benz ni ninguno de los padres de la automoción podría imaginar. Hay varios denominadores: la conectividad y el dato compartido. Más bien millones de datos. Según Brian Krzanich, quien fuera CEO de Intel, los coches conectados generan y consumen 40 terabytes de datos cada 8 horas de conducción.

La ciberseguridad, un requerimiento por ley para los coches conectados

Y serán aún más en los próximos años, ya que según cálculos de McKinsey se espera que una cuarta parte de todos los coches del mundo tengan servicios de conectividad en 2023 frente a los 400 millones que hay actualmente. Para 2025, la consultora estima que los vehículos conectados supondrán ya el 86% del mercado automovilístico y en el mundo existirá un enorme ecosistema de coches con funciones que nos harán la vida más fácil, pero que nos expondrán más que nunca.

Toda conectividad y flujo de datos compartido entrañan un riesgo en la privacidad. Pero en la automoción se va un paso más allá, porque un ataque a la ciberseguridad puede permitir a un hacker tomar el control del vehículo, llegando a moverlo de modo remoto o desconectando sus frenos, tal y como sucedió en 2015 con un Jeep Cherokee pirateado por dos hackers en una demostración de la revista Wired.

"Éste fue uno de los casos más conocidos. Los atacantes consiguieron controlar a través del sistema de infoentretenimiento un coche a distancia, incluyendo su radio, limpiaparabrisas, aire acondicionado o su caja de cambios mientras lo conducían por la autopista", cuenta a Reason Why Luis Corrons, Security Evangelist de Avast, quien considera que cualquier dispositivo conectado a Internet debería ser sometido a rigurosas pruebas de seguridad antes de ser fabricado y vendido, "y en el caso de los coches conectados o autónomos el rigor necesario debería ser mayor, porque el daño de un ciberataque podría llegar a costar vidas". Por lo que a su juicio, la seguridad "es y seguirá siendo una de las consideraciones más importantes para los fabricantes de automóviles a medida que la automatización se convierta en algo cada vez más habitual".

Todas estas nuevas amenazas están llevando a las compañías automovilísticas a invertir en la protección de los coches conectados, contratando perfiles específicos y llegando a acuerdos externos con start-ups especializadas como Upstream, que desde 2010 ha registrado 633 ataques informáticos a coches, 207 documentados en el último año. A esto hay que añadirle el nuevo marco legal que establece la normativa ONU / UNECE WP.29, en vigor desde principios de 2021, y que obliga a homologar cualquier nuevo vehículo con un certificado de ciberseguridad. El incumplimiento de este requisito conllevaría multas de 30.000 euros por unidad.

Por todo esto, “la ciberseguridad se convertirá en la nueva dimensión de la calidad del automóvil”, según recoge el último informe de McKinsey sobre la protección de los vehículos conectados, un factor que está llevando a los fabricantes automovilísticos, además de contratar e invertir en start-ups, a colaborar con desarrolladores independientes y hackers "blancos" que reciben recompensas por encontrar fallos en sus sistemas operativos.

Un nuevo perfil profesional para la ciberseguridad del coche conectado

Tanto las contrataciones in-house como colaboraciones con otras empresas en una misma corriente que aumentará la masa laboral dedicada a la ciberseguridad en la automoción, tal y como confirma a Reason Why Iñigo Barrio, Sales Technology & Digital Senior Consultant de Spring Professional, la consultora de selección del Grupo Adecco. “Esta transformación se acelerará con la regulación de la ONU, adoptada en Europa, una norma que impactará en el día a día y en las contrataciones de las empresas de automoción”, asegura Barrio, quien recuerda que en 2019 solo el 30% de los fabricantes de coches tenían equipos de ciberseguridad. "Es negocio que se duplicará de aquí a 2030, pasando a movilizar 9.700 millones de euros frente a los 4.900 actuales, según McKinsey", una previsión que anticipa el negocio que se desarrollará alrededor de esta industria.

El consultor de Spring Professional percibe una “tendencia muy al alza” en los departamentos de ciberseguridad, pero también en las empresas de tecnología encargadas de fabricar los sensores y chips de los automóviles conectados. En ambos casos se harán incorporaciones de “perfiles como ingenieros y analistas muy técnicos, de nicho y actualizados, que están al tanto de todas novedades legislativas”. Y paralelamente al solucionador de vulnerabilidades, también crecerá la figura del comercializador de todas estas soluciones de ciberseguridad, “mucho más centrado en la venta consultiva y con un discurso técnico muy fuerte”. En cualquiera de los dos casos, países como Estados Unidos llevan bastante camino recorrido frente a España, donde "la ciberseguridad aún no se percibe como una prioridad", según indica Iñigo Barrio.

Y todo ello a pesar de que la aplicación de la seguridad va más allá de evitar ataques o detectar posibles brechas en los códigos. Según el Digital Senior Consultant de Spring Professional, estos perfiles técnicos también protegerán la gestión de toda la información que generan los vehículos y que se almacena en la nube. “Millones de datos que pueden ser vulnerados y que son clave en empresas relacionadas con la movilidad como las compañías de renting o delivery que tienen grandes flotas conectadas que controlan en tiempo real”, añade.

Todas estas necesidades provocarán el aumento de los equipos de ciberseguridad en las empresas, con perfiles especializados, pero también crecerá el volumen de trabajo de las start-ups dedicadas a este negocio y que a veces ofrecen respuestas más ágiles.

La ciberseguridad, pese a ser un aspecto crítico en las compañías, se desarrollará como un trabajo colectivo en el que colaborarán miembros orgánicos de los fabricantes y otros colaboradores externos. Por eso los grandes actores de la industria se están moviendo en varios sentidos: por un lado están llevando a cabo nuevas contrataciones y, por otro, invirtiendo en compañías tecnológicas especializadas que trabajan por su cuenta, pero que controlan desde el accionariado.

Perfiles de seguridad que trabajan desde dentro de los fabricantes

Que las grandes marcas de coches están reforzando su ciberseguridad es algo palpable con una búsqueda en portales profesionales como LinkedIn o webs corporativas, donde comprobamos que PSA Groupe o Seat han cerrado recientemente procesos de selección para incorporar perfiles técnicos que ya trabajan en sus departamentos de ciberseguridad. En la descripción de las ofertas se especifica la estructura de estos grupos de trabajo, liderados por un CISO (Chief Information Securty Officer) que, a la protección ante posibles ataques y fugas de datos de la propia compañía, ha añadido la responsabilidad de proteger los vehículos que ensamblan los fabricantes.

“En Stellantis estamos al tanto de las exigencias en ciberseguridad y desde la central están tomando todas las medidas para cumplir las exigencias en esta materia”, nos cuentan desde Stellantis España, grupo nacido de la fusión entre PSA y Fiat Chrysler, y primer productor de vehículos en España, en un posicionamiento que han defendido públicamente otros grandes líderes de la industria.

Es el caso de Mary Barra, CEO de General Motors, fabricante que presentó el primer coche conectado allá por 1996 en colaboración con Motorola, un vehículo equipado con el sistema OnStar que se conectaba automáticamente con un operador en caso de accidente.

“Hoy todas las industrias son vulnerables a los ciberataques. La automovilística no es una excepción. Estamos lanzando vehículos al mercado con tecnologías y funciones que pueden hacer mejor la vida de todos. Nuestros clientes así lo esperan y por eso nos ceden sus datos y conectan todo tipo de dispositivos a sus coches esperando una integración perfecta. Así que nuestro trabajo está en garantizar que todos estos procesos se lleven a cabo de modo seguro y privado”, dijo Barra en la inauguración de la RSA Conference del año pasado, un evento sobre ciberseguridad donde estuvo la máxima ejecutiva de uno de los grandes fabricantes de Estados Unidos para demostrar que este tema está muy presente en su agenda.

El dato que refuta esta declaración son los 500 trabajadores que General Motors tiene ya contratados para trabajar en la ciberseguridad de la compañía y los vehículos que fabrican. En este departamento conviven matemáticos, analistas de datos, programadores y hackers "blancos", pero no parecen suficientes para Barra, quien espera reclutar “mucho más talento. Sin las personas y las herramientas adecuadas, los riesgos de seguridad aumentarán demasiado en este mundo conectado y esto nos expondrá a todos. Para el éxito a largo plazo, todas las empresas del ecosistema digital debemos llenar la brecha de talento”, cerraba Barra su discurso en una clara alusión a la transformación que están viviendo los fabricantes de una industria centenaria que ya no se ven a sí mismos como ensambladores de coches, sino como parte de “un ecosistema digital”.

Y la preocupación de GM por la ciberseguridad es ya una constante en la industria. Sobre todo en los fabricantes que fueron pioneros en la seguridad vial, como es el caso de Volvo Cars, inventor del cinturón de seguridad, que reconoce la ciberseguridad como "una parte fundamental y prioritaria en nuestros desarrollos. Volvo no podría vender vehículos que no considera seguros", indican a Reason Why.

Para cumplir con este objetivo, la marca sueca ha colaborado en varias alianzas que le han permitido desarrollar un sistema que protege a los ocupantes del vehículo y a otros usuarios de la carretera. "Si por ejemplo un hacker accede al coche conectado, no afectaría a las partes más vitales del vehículo como la dirección o los frenos, ya que están separadas de los sistemas conectados en diferentes ámbitos y componentes de seguridad para proteger mejor las partes esenciales", describen desde el fabricante.

Los expertos en ciberseguridad de Volvo han diseñado una coraza que también inutiliza el arranque a distancia y evita los robo de vehículos que se abren sin llave física. "Aplicamos el cifrado avanzado para evitar riesgos, por lo que podemos afirmar que los vehículos nuevos son más seguros que nunca, aunque ello requiere un trabajo continuo de mejora de acuerdo a los avances tecnológicos", apuntan desde Volvo Cars, que resalta la importancia de crear un entorno seguro entre todos los fabricantes, e incluso con otras industrias.

Sin embargo, la mayoría de los fabricantes prefieren construir internamente su coraza, como ocurre con el Grupo Volkswagen, que tiene una división especializada denominada The Car.Software Organisation, a la que aludió Herbert Diess, Presidente de la compañía, en su discurso en la última junta general de accionistas.

“Durante la próxima década, el software transformará la automoción de manera fundamental. Por eso en Volkswagen existe The Car.Software Organisation, que se encargará de desarrollar toda esta tecnología. Tenemos el objetivo de que alcance los 10.000 empleados que la convertirán en la segunda compañía de software más grande de Europa, solo superada por SAP. Y es que solo hay un tipo de software en el que Europa aún tiene posibilidad de ser líder en la próxima década: el de la automoción”, señaló Diess en una declaración estratégica sobre lo que supondrá la tecnología del coche conectado, y en consecuencia su ciberseguridad.

El objetivo declarado del Grupo Volkswagen es desarrollar cada vez más internamente el software de los vehículos, pasando del 10% al 60% en 2025. “Tenemos experiencia y conocimiento sobre lo complejo que supone fabricar un automóvil. Y queremos seguir teniendo el control de toda la arquitectura de los vehículos, donde tenemos que incluir la electrónica y el software. Así mantendremos nuestra ventaja competitiva y generaremos economías de escala, puesto que, entre otras cosas, el mayor volumen de coches conectados del grupo nos ayudará a tener más datos de los que aprender para mejorar nuestros desarrollos”, afirman desde Volkswagen Group España Distribución en declaraciones a Reason Why.

Y al trabajo como grupo en Volkswagen, hay que añadirle los desarrollos propios de cada una de las marcas que lo integran. Es el caso de Audi, una de sus enseñas premium, donde se toman “muy en serio la protección de datos y robo”, según informan a Reason Why desde Audi AG, compañía que se compromete “especialmente contra el acceso, uso, transferencia, pérdida, cambio o daños no autorizados” de sus coches conectados.

“Utilizamos mecanismos y estándares que han sido profundamente testados. Como el control del flujo de información en la arquitectura de la red, la protección contra el acceso no deseado con cortafuegos, así como hemos puesto en marcha un programa de confianza a través del software, firmado mediante un arranque seguro. Y además usamos mecanismos de cifrado o almacenamiento de la información en soportes especiales”, describen desde el fabricante alemán, que atribuye el desarrollo de todas estas funciones a trabajadores propios, “pero también incorporamos la experiencia de especialistas externos en seguridad”.

Las start-ups de ciberseguridad que aportan desde fuera

Precisamente, con esta última declaración, Audi AG presenta a las otras grandes protagonistas en la ciberseguridad del automóvil como son las start-ups que trabajan desde fuera con las marcas. No obstante, muchas están participadas por los propios fabricantes incluso desde su fundación, como ocurre con el Grupo Volkswagen y Cymotive, una empresa especializada que tiene su sede en Tel-Aviv (Israel), el gran hub de desarrollo tecnológico de la ciberseguridad en el automóvil.

“Este es un campo de investigación tanto civil como militar muy importante en Israel, un país donde la seguridad está siempre en entredicho. De ahí que cada vez nazcan más empresas especializadas en este campo que afecta a la seguridad de los datos y a la protección técnica de todos los sistemas que están conectados a Internet o que son susceptibles de estar conectados”, explican los fundadores de Cymotive en la sección que tienen dentro de la web corporativa de Volkswagen.

En Cymotive escudriñan cada placa y circuito electrónico que incorporan los coches conectados y que equiparán los vehículos autónomos. “Los piratas informáticos pueden analizar qué datos se intercambian entre los pequeños conjuntos de chips para atacar el eslabón débil, por lo que nuestro trabajo consiste en mirar con lupa cada milímetro de cada componente”, señalan desde una start-up que trabaja en exclusiva para un fabricante, al contrario de lo que sucede con Upstream, otra compañía israelí de ciberseguridad en el automóvil, pero que trabaja para varias marcas de automoción.

Aunque por confidencialidad no pueden indicar cuáles son, en el accionariado de Upstream están holdings de Renault, Hyundai y Volvo Group, algunos de los clientes de su plataforma C4 -Centralized Connected Car Cybersecurity-, que analiza las comunicaciones entre los centros de datos y las flotas para detectar, interpretar y alertar en tiempo real sobre cualquier amenaza.

“Cuando hablamos de un coche conectado, hablamos de un smparthone sobre ruedas. En realidad, de algo más grande, ya que el número de datos que comparte es mucho mayor. Un coche conectado genera más líneas de código que un caza. Desde que lo abrimos y lo encendemos; incluso cuando no está en movimiento. En Upstream recopilamos toda esa información para analizarla, entenderla y así poder mitigar potenciales amenazas en los vehículos”, cuenta a Reason Why Fay Goldstein, Strategic Communications and Development Manager de Upstream Security, quien apunta a un uso comercial de todos los datos recopilados, más allá de la seguridad.

“Nuestros clientes pueden usar toda la información que reciben para generar servicios adicionales. Son datos útiles que les permiten conocer, por ejemplo, los índices de siniestralidad. De ahí extraen conclusiones para lanzar seguros o pólizas personalizadas”, explica Goldstein, para añadir las “grandes posibilidades” que tienen los datos en la movilidad.
Y lo hace con otro ejemplo, el de las flotas de vehículos conectados, donde caben desde empresas de reparto hasta compañías de carsharing, también clientes de Upstream. “Con los datos que les suministramos pueden saber qué rutas son más eficientes para el delivery, cómo pueden optimizar los tiempos de los vehículos para que estén el menor tiempo posible parados o son capaces de detectar si un automóvil ha sido robado o ha sufrido alguna incidencia”, añade la Development Manager de Upstream.

En estas tareas están empleados los profesionales de Upstream y para entender su perfil hay que recurrir otra vez a las peculiaridades de Israel, según apunta Fay. “La mayoría de nuestros trabajadores provienen del ámbito de la ciberseguridad militar. En el ejército israelí hay una unidad de alto rango denominada Unit 8200, cuya misión es la captación de señales de inteligencia y descifrado de código. También tenemos piratas informáticos en nuestra empresa, porque para proteger un vehículo primero hay que saber cómo atacarlo", describe la Development Manager de Upstream Security, quien avanza que la plantilla de la compañía "aumentará en breve, porque el negocio de la ciberseguridad en la automoción no para de crecer".

Aunque Israel sea el centro de estas investigaciones, en España también se trabaja en el ámbito de la ciberseguridad de los vehículos. En concreto, en Álava, donde tiene su sede Eurocybcar, que ha elaborado un test que mide el grado de vulnerabilidad de los coches conectados a través del que se expide un certificado según la citada normativa ONU/UNECE WP.29. La prueba en cuestión comprueba “el nivel de protección de un coche frente a ataques contra los sistemas conectados del vehículo, llevados a cabo de forma física, remota y a través de aplicaciones".

Bug Bounty: la colaboración con los hackers "blancos"

Como complemento al trabajo que realizan los perfiles internos de las compañías y las start-ups, algunos fabricantes plantean una tercera vía para trabajar su ciberseguridad mediante la celebración de hackatones o programas bug bounty: encuentros de programadores y hackers "blancos" que, de modo colaborativo, detectan fallos en la seguridad de las empresas. Es el caso de #DisrUP, un evento organizado por Seat hasta 2019 centrado en la ciberseguridad del coche conectado, y en el que la compañía española buscaba jóvenes profesionales con grados de Ingeniería, Informática, Matemáticas o Física a los que les motivase descubrir y resolver “los retos y enigmas de la ciberseguridad y la criptografía en el sector de la automoción”.

El segundo objetivo de estas convocatorias, declarado por la propia compañía, fue “captar talento joven para hackear el futuro” entre los participantes, algunos de los cuales pasaron a formar parte del Programa Trainee de Seat, a través del que se ofrece una formación individualizada en diversas áreas de una compañía que tiene abiertos múltiples frentes en materia de seguridad. Hasta el punto de que está habilitado un apartado en su web denominado “Contact Cyber Security Seat”, por medio del que cualquier usuario puede reportar problemas de seguridad.

Por su parte, Daimler, matriz de Mercedes-Benz, ha desarrollado bug bounty programms con varios colectivos como Sky-Go Team, un grupo de programadores independientes que en 2019 detectó hasta 19 brechas en el software de los vehículos de la marca alemana.

Con el mismo objetivo, Ford mantiene activo un programa abierto en la plataforma HackerOne, donde las compañías publican sus bug bounty, y a través del cual ha resuelto más de 1.700 incidencias. Caso semejante al de BMW, que premia con hasta 3.000 dólares la detección de problemas en HackerOne, que rivaliza con Bugcrowd, la web elegida por Tesla para sus campañas colaborativas en ciberseguridad, que tienen premios de hasta 15.000 dólares, a lo que hay que añadir un reconocimiento público en la web del fabricante. 

El negocio de vender coches seguros seguirá creciendo

Si hay un reconocimiento, en este caso global, que pueda extraerse tras los ejes comentados es el que ha hecho la industria de la automoción sobre la importancia de la ciberseguridad en su futuro inmediato. Desde dentro, desde fuera o de modo colaborativo, detectar fallos y mejorar en ese apartado se ha convertido en parte del propio modelo de negocio.

“La seguridad vial ha sido una prioridad de esta industria desde la invención del cinturón, al que se fueron añadiendo los airbags o mejores sistemas de iluminación. Pero la ciberseguridad había estado en un segundo plano hasta hoy. Y hablamos en pasado, ya que la entrada en vigor de la regulación ONU / UNECE WP.29 y el aumento de ataques han catalizado un cambio irreversible”, asegura Fay Goldstein, de Upstream, en una argumentación que también recoge el informe de McKinsey sobre los vehículos conectados, donde se apunta que “la ciberseguridad ya es un factor vital para la industria del automóvil y los reguladores”.

Y es la previsión económica hecha por la consultora en este estudio la que citan todas las fuentes consultadas para hablar, ya no de una necesidad, sino del negocio de la ciberseguridad, que, recordamos, pasará de generar 4.900 millones de dólares como sucedió en 2020, a más de 9.700 en 2030.

Noticias Relacionadas

La pandemia frena la nueva movilidad y refuerza el coche privado

La nueva carrera espacial: desde el sector privado y hacia el turismo

“Todas las compañías querrán seguir aumentando sus beneficios, pero en este nuevo escenario no solo importará vender coches, sino vender coches seguros”, defiende Fay Goldstein, refiriéndose a las pérdidas millonarias que ya han causado a los fabricantes los fallos en ciberseguridad.
Enormes actores comerciales que quieren seguir siéndolo, para lo que han contratado, y seguirán haciéndolo, perfiles profesionales especializados en la ciberseguridad de los coches conectados que, según concluye Goldstein “crecerán tan aceleradamente como en su día lo hicieron los smartphone. Porque los nuevos coches son eso: ordenadores sobre ruedas, y, ¿a qué no entenderíamos ya estos dispositivos sin un antivirus o un cifrado de seguridad? Pues con la ciberseguridad de la automoción sucederá lo mismo”.