Norma de ciberseguridad WP.29: todos los autos la deben cumplir este año

Los modelos que no cuenten con este certificado no podrán venderse en Europa a partir del 1 de julio del presente año y el fabricante podría ser sancionado con duras sanciones.

La seguridad en los autos sin duda es uno de los aspectos más importantes, tanto para los conductores como para los demás usuarios de la vía en caso de accidente. Por eso la ciberseguridad vehicular ha incrementado su relevancia entre las instituciones que norman este tema, surgiendo así la normativa WP.29 que busca vehículos protegidos contra múltiples ciberataques y que obliga a que todos los autos nuevos que se comercialicen en Europa a partir del 1 de julio de 2024 cuenten con este protocolo.

¿Dónde nace esta norma? El Foro Mundial para la Armonización de la Reglamentación sobre Vehículos, que pertenece a la Comisión Económica de las Naciones Unidas para Europa (UNECE) es el organismo detrás de esta dura norma de ciberseguridad enmarcada dentro del reglamento UNECE/TRANS/WP.29/2020/79, aprobada en 2020, y que incluye las normas UN R155 y UN R156.

Estos protocolos exigen que los fabricantes incluyan en sus autos un sistema de gestión de ciberseguridad o CSMS, por sus siglas en inglés. Como así también que todos los vehículos alcanzados por la normativa WP.29 integren un sistema de actualización de software. Es decir, textual, “todos los autos deben recibir una certificación que garantiza que son seguros ante la posibilidad de que actores maliciosos intenten explotar alguna vulnerabilidad en su software, sensores o servicios conectados”.

Esto ha generado controversia en el mundo automotor ya que, si bien en la Unión Europea la normativa WP.29 ya rige para los vehículos cuya homologación se haya realizado desde el 1 de julio de 2022, entrará en vigor definitivamente el 1 de julio de 2024. Esto significa que, desde esa fecha, los vehículos que no cumplan con la regulación de ciberseguridad ya no podrán ofrecerse en el mercado.

Autos ciberseguros

Los nuevos reglamentos de la normativa WP.29 establecen que los sistemas de gestión de ciberseguridad creados por los fabricantes tendrán que proteger a sus automóviles de nada menos que 70 amenazas. De lo contrario, los vehículos no recibirán la certificación necesaria para su comercialización en la Unión Europea.

Algunos ejemplos de las amenazas de ciberseguridad que se deben impedir, según lo establecido por la normativa WP.29:

• El robo o la filtración de datos de forma involuntaria desde los servidores o las redes internas del fabricante.
• La inyección de software malicioso a través de los canales que utiliza el automóvil para conectarse con el exterior.
• La instalación inadvertida de virus por parte del dueño del vehículo o las personas con acceso a él —mecánicos, por ejemplo—, con la intermediación de un pirata informático.
• En el caso de la venta del coche, el traspaso de información personal del primer propietario al segundo.
• Que la descarga de actualizaciones al software del vehículo no se vea comprometida por ningún tipo de amenaza informática.
• La manipulación de sensores y funciones de forma remota, como el sistema para trabar las puertas, entre otros.
• La intromisión en los sistemas para mostrar información alterada como la velocidad a la que se transita, indicaciones incorrectas en la navegación o un kilometraje mayor o menor al real.

Cómo se certifica la normativa WP.29

Para obtener este certificado de ciberseguridad, los fabricantes deben someter a una prueba que demuestre que los vehículos son seguros frente a 70 amenazas diferentes. Una vez superada esta prueba, el fabricante obtiene un certificado de homologación con una validez de tres años.

Pasado este tiempo, se debe renovar la certificación que acredite que el modelo sigue siendo seguro en caso de ciberataque. Además, si el fabricante realiza modificaciones en el sistema de gestión de ciberseguridad, es obligatorio que vuelve a someterse a las pruebas de certificación europeas.

Los vehículos que deberán recibir la certificación como ciberseguros según la normativa WP.29 en la Unión Europea son:

• Categoría M: autobuses, autocaravanas y turismos.
• Categoría N: camiones y furgonetas.
• Categoría O: caravanas y remolques con unidad de control electrónico.

Como pueden imaginar, el incumplimiento a la normativa de ciberseguridad WP.29 traerá duros castigos a las automotrices. En la Unión Europea, los fabricantes que no cumplan con lo establecido por el reglamento se expondrán a multas de hasta 30.000 euros por cada unidad del modelo en infracción.