Los concesionarios no ciberseguros se exponen al robo de información sensible de sus clientes, así como al hackeo de los vehículos que se venden, arriesgándose a multas que superan el medio millón de euros (hasta 600.000 euros), según datos del experto en ciberseguridad del automóvil Eurocybcar recogidos por Sumauto, especialista en portales verticales de automoción que agrupa a Autocasión y AutoScout24, con motivo del XXIX Congreso de Faconauto.

En la actualidad, la amenaza de ciberseguridad más frecuente en un concesionario es un ataque a los sistemas informáticos que permita el robo o manipulación de datos sensibles de los clientes. Sin embargo, a medio plazo la principal ‘ciberamenaza’ será el hackeo del vehículo, pues el 70% de los vehículos que se vendan en España en 2025 estarán conectados, según datos de MSI. El robo de datos a los concesionarios representa un peligro real que, si bien en España aún no se ha materializado en casos confirmados, en Estados Unidos -uno de los países más avanzados tecnológicamente- están sucediéndose cada vez con mayor frecuencia. Según Eurocybcar, el 85% de los concesionarios americanos han sufrido al menos un ciberataque en los últimos dos años.

De esta forma, el informe evidencia que los concesionarios también son objetivo de ataque para los ciberdelincuentes, lo que resulta una amenaza para el propio negocio de compraventa del concesionario, hasta el punto de que cuatro de cada cinco consumidores no adquirirían su coche a un distribuidor que no fuera ciberseguro o, lo que es lo mismo, que no garantice un blindaje de los datos.

Además, esta pesadilla de privacidad llega también al terreno legal, donde un concesionario debe asumir que poner a la venta un vehículo al que no se le hayan aplicado las medidas de ciberseguridad necesarias tiene las mismas responsabilidades y sanciones que hacerlo con un vehículo que no cumple el Reglamento Europeo de Seguridad de Vehículos. El concesionario, como vendedor del coche y responsable último del estado en que llega al consumidor, debe blindarse frente a este tipo de ciberataques y aplicar los protocolos de comprobación necesarios para garantizar su buen estado, máxime en el mercado de ocasión, donde un vehículo ha sido objeto de ‘cambio de manos’.

Sumauto explica que comprobar el nivel de ciberseguridad de un vehículo es fácil, porque ya existen tests para medir las dificultades que tiene un ciberdelincuente para, de manera remota, abrir puertas, bajar ventanillas, activar los frenos del coche, acelerarlo, conocer su posición en tiempo real o acceder a cualquier sistema electrónico del coche.

Y es precisamente esto lo que ha llevado a la redacción de la nueva regulación de la ONU, que se aprobará previsiblemente en marzo y se verá reflejada, a partir de 2022, en un Reglamento Europeo de Seguridad de Vehículos que no permitirá la venta de vehículos en la UE sin un certificado de ciberseguridad. Con la entrada en vigor de esta norma, los fabricantes deberán garantizar la ciberseguridad de un vehículo en todas sus fases, como ya contempla la normativa ISO 21434 actualmente en desarrollo.

Esta legislación viene así a controlar una práctica menos sofisticada de lo que parece, pues los coches son grandes ordenadores con ruedas que están siendo hackeados por ciberdelincuentes desde el año 2012. Todo vehículo que disponga de un mínimo de tecnología a bordo es susceptible de ser víctima de ello. Y es que sistemas tan comunes como el Bluetooth, navegador, llamada de emergencia -obligatorio en los coches desde 2018-, llave con mando a distancia, airbag o cualquier aplicación que permita controlar funciones del coche desde el móvil están ya disponibles en la mayoría de vehículos y pueden ser vulnerados usando dispositivos de apenas 30 euros, según datos recogidos por Eurocybcar.