Ciberseguridad, blindaje necesario para una industria conectada
Expertos de Castroalonso, GMW, The Security Sentinel y WatchGuard analizan la implantación de sistemas en el sector.
Guillermo Ezquerra, CEO de The Security Sentinel, considera que “es cierto que el sector auto ha avanzado mucho en el área de la ciberseguridad durante los últimos años, aunque todavía queda espacio para mejorar. Los grandes fabricantes, tanto de vehículos como de componentes, han hecho un llamativo esfuerzo por incorporar medidas de protección en sus sistemas y productos. Sin embargo, cuando miramos a las pequeñas y medianas empresas, especialmente a los proveedores de segundo y tercer nivel, vemos que aún hay un nivel de madurez más bajo en esta materia. Esto se debe, en gran parte, a limitaciones de recursos, falta de personal especializado y a que muchas veces no se percibe el riesgo con la misma intensidad”.
Ezquerra afirma que “la ciberseguridad es realmente efectiva cuando se integra en todo el ciclo de vida del vehículo, desde el diseño hasta la producción. En la fase de diseño, por ejemplo, es clave empezar a implementar medidas de seguridad desde el primer momento, protegiendo los sistemas electrónicos, el software embebido y la conectividad frente a posibles amenazas. Durante el desarrollo, es fundamental asegurar la integridad del código y la autenticidad del firmware, evitando así vulnerabilidades que puedan ser explotadas. Y ya en la etapa de fabricación, hay que proteger todos los entornos industriales conectados (como las líneas de producción robotizadas o los sistemas de mantenimiento predictivo) para evitar ciberataques que puedan afectar la calidad o incluso detener la producción”.
Aunque la protección de los sistemas operativos industriales (OT) y los informáticos (IT) comparten muchas cosas en distintos sectores, el CEO de The Security Sentinel opina que “el sector de la automoción tiene características muy particulares. Los vehículos son cada vez más conectados, integran funciones autónomas y se comunican con infraestructuras externas. Todo esto amplía lo que llamamos la ‘superficie de ataque’ y hace necesarios un enfoque dinámico que no solo proteja el producto, sino también todo el entorno en el que opera.
Por último, Guillermo Ezquerra manifiesta que “uno de los grandes retos en este campo es la falta de profesionales especializados. Hay una brecha importante entre la demanda y la disponibilidad de talento que combine conocimientos en ciberseguridad con un entendimiento profundo de la tecnología propia del sector del automóvil. Por eso, es fundamental que la industria colabore con universidades y centros de formación para desarrollar programas específicos que preparen a la próxima generación de expertos en ciberseguridad aplicada a la movilidad”.
Segundo plano
Desde la perspectiva de Jaime López, consultor técnico en Castroalonso y experto en ciberseguridad e informática forense, “la industria de la automoción está viviendo una transformación tecnológica acelerada. Conceptos que hace poco parecían futuristas, como el coche conectado, el vehículo eléctrico o la conducción autónoma, ya forman parte de nuestra realidad cotidiana. Sin embargo, muchas de estas innovaciones llegan al mercado cuando aún no han alcanzado su plena madurez, empujadas por la intensa presión competitiva. Esta rapidez a veces provoca que la ciberseguridad quede relegada a un segundo plano, convirtiéndose en una tarea pendiente condicionada por las exigencias del mercado”.
Esta situación deja al descubierto otra realidad, según el representante de Castroalonso. “La seguridad no depende únicamente de los grandes fabricantes. Aunque las grandes compañías automotrices suelen contar con sólidos departamentos de IT y Seguridad de la Información, dependen de una extensa cadena de suministro compuesta en gran número por pymes que no disponen de estos recursos ni conocimientos específicos. Esto convierte a la cadena de suministro en el eslabón débil del sector, haciendo especialmente urgente implementar medidas eficaces de ciberseguridad en estas empresas proveedoras. De hecho, un solo proveedor con carencias en seguridad puede abrir inadvertidamente la puerta a ciberataques capaces de afectar a toda la industria”.
Otro desafío que complica este panorama, según Jaime López, “es la falta generalizada de profesionales cualificados en ciberseguridad, un problema que afecta no solo al sector automoción, sino a prácticamente todas las industrias. La demanda de expertos en seguridad digital supera ampliamente la oferta, dejando a muchas empresas con vacantes en puestos clave. Sin el personal adecuado resulta complicado vigilar y proteger entornos industriales y tecnológicos cada vez más interconectados y complejos”.
“En Castroalonso creemos que la ciberseguridad debe ir de la mano con la innovación tecnológica en cada fase del proceso. Nos apasiona demostrar que es posible proteger desde el diseño inicial del vehículo, pasando por el desarrollo de su software, hasta la fabricación conectada en fábrica, sin frenar la capacidad de innovación del sector. Por suerte, empezamos a ver esfuerzos colaborativos en esta dirección: fabricantes apoyando a sus proveedores más pequeños y generando entornos compartidos de seguridad”. Subraya Jaime López.
En definitiva, la automoción tiene ante sí una oportunidad, asegura el consultor de Castroalonso: “integrar la ciberseguridad como una aliada natural del cambio tecnológico. Estamos convencidos de que, apostando por la colaboración y formando a profesionales capaces de entender estas nuevas realidades, el sector puede avanzar con confianza hacia un futuro no solo más conectado, sino también más seguro y preparado para los retos venideros”.
Desarrollo limitado
Para Carlos Sahuquillo. Automotive CyberSecurity Consultant en GMV, “aunque la normativa UNECE R155 está en vigor desde julio de 2024, la gestión de riesgos de ciberseguridad en la industria automotriz aún muestra un nivel de desarrollo limitado. Los fabricantes (OEMs) y los proveedores de primer nivel (TIER 1) han comenzado a incorporar la norma ISO/SAE 21434 en sus procesos, pero aún se encuentran lejos de alcanzar un grado de madurez suficiente. Como sucede con cualquier sistema de gestión, será necesario un proceso continuado de mejora para garantizar la implantación efectiva de las medidas”.
Sahuquillo matiza que “los proveedores de segundo y tercer nivel (TIER 2 y TIER 3) afrontan retos aún mayores debido a su menor capacidad técnica. Deben alinearse con los estándares definidos por los TIER 1 y asegurar que sus componentes cumplen con los requisitos exigidos. Desde GMV se considera clave que estas empresas accedan a formación especializada y a asesoramiento experto, evitando así la incorporación de nuevas vulnerabilidades durante la integración de sus productos”.
El directivo de GMV expone que “la ISO/SAE 21434 plantea un enfoque exigente: integrar la ciberseguridad en todo el ciclo de vida del vehículo. Esto supone un cambio relevante frente a modelos anteriores. Tradicionalmente, cuando un componente pasaba a producción, el área de ingeniería lo dejaba atrás salvo que apareciera un fallo crítico. Hoy, los fabricantes están obligados a monitorizar constantemente vulnerabilidades y a contar con la capacidad para corregirlas, ya sea mediante actualizaciones de software, parches o sustituciones físicas, durante toda la vida útil del vehículo.
Carlos Sahuquillo piensa que “el sector automotriz, en comparación con otras industrias, parte con una desventaja significativa. Hace una década, los vehículos apenas tenían conectividad y las amenazas requerían acceso físico. Hoy, están vinculados a infraestructuras viales, a otros vehículos y a aplicaciones móviles, lo que amplía enormemente su superficie de ataque. Esta nueva realidad exige un enfoque proactivo y riguroso, especialmente en las fases tempranas del diseño y el desarrollo”.
También señala que “la escasez de profesionales cualificados en ciberseguridad aplicada a automoción es una preocupación creciente. No existe un modelo único entre los OEMs: algunos han adquirido empresas especializadas, otros desarrollan talento interno, y muchos confían en socios externos. Aunque las estrategias son diversas, el objetivo es compartido: alcanzar el máximo nivel de protección, al mismo nivel de exigencia que la seguridad física reconocida por EURO NCAP”.
Reforzar defensas
Desde WatchGuard, expone Guillermo Fernández, Manager, Sales Engineering Southern Europe “observamos que la ciberseguridad ha ganado un peso importante en la estrategia digital del sector de automoción, tanto en grandes fabricantes como en proveedores de componentes. Es cierto que, en comparación con años anteriores, las empresas han dado pasos firmes para reforzar sus defensas. En algunos casos, esta evolución ha sido impulsada por una mayor concienciación interna; en otros, por la creciente presión normativa. Un buen ejemplo es la directiva NIS2, que pone el foco en sectores críticos, y no es extraño que buena parte del ecosistema de automoción se viera influenciado.
“Además”, añade Fernández, “las exigencias en materia de seguridad dentro de la cadena de suministro están empujando a las pymes a elevar sus estándares. Muchas grandes compañías ya demandan a sus proveedores unas garantías mínimas de ciberseguridad, lo que responde a una realidad evidente: en muchas brechas de seguridad recientes, el punto de entrada ha sido una empresa colaboradora o un proveedor. La seguridad, por tanto, ya no es solo una ventaja competitiva, sino un requisito imprescindible para operar en el sector”.
El directivo de WatchGuard sostiene que “la ciberseguridad debe estar presente en todo el ciclo, desde el diseño hasta la producción y mantenimiento. Hablamos de sectores con una fuerte inversión en I+D y propiedad intelectual, donde un ciberataque que robe planos de diseño o datos estratégicos, por ejemplo, puede causar un gran perjuicio. Igualmente, si un incidente impacta la cadena de producción, las consecuencias económicas pueden ser enormes. Y no podemos olvidar que los vehículos modernos están cada vez más conectados: cualquier vulnerabilidad podría afectar incluso a la seguridad física del usuario. Por eso es clave incorporar seguridad desde el diseño, aplicar buenas prácticas de segmentación, protección de endpoints industriales y monitorización continua”.
En cuanto a las similitudes entre sectores, Fernández señala que “existen elementos comunes, como la necesidad de proteger la confidencialidad, integridad y disponibilidad de los datos. Sin embargo, hay particularidades que distinguen a la automoción. Por ejemplo, la criticidad del entorno OT (tecnología operativa), con sistemas industriales que deben operar sin interrupciones y que suelen tener décadas de antigüedad, plantea retos muy específicos. También la presión regulatoria varía, pues mientras que una empresa del sector salud puede tener que cumplir con normativas como HIPAA, en automoción hablamos de estándares como ISO/SAE 21434 o UNECE WP.29, además de la ya mencionada NIS2. Cada sector prioriza de forma distinta y requiere medidas adaptadas a su realidad.
Respecto al factor humano, el directivo de WatchGuard manifiesta que “nos enfrentamos a la misma realidad que el resto del mercado tecnológico, donde existe una escasez notable de profesionales especializados. La demanda supera con creces a la oferta, y esto obliga a muchas compañías del sector a apoyarse en socios externos que puedan ofrecer servicios especializados, desde auditorías hasta protección gestionada. En este contexto, contar con partners tecnológicos, como pueden ser los MSP [Proveedores de Servicios Gestionados], que aporten experiencia y recursos cualificados se convierte en un acelerador. Además, es clave que estos profesionales conozcan tanto el marco regulatorio como los riesgos propios de los entornos industriales y de movilidad conectada. Solo así se puede construir una ciberseguridad eficaz y sostenible”.
La secretaria general de Acea, Sigrid de Vries, ha analizado en un nuevo artículo de opinión, que a continuación reproducimos, la situación actual del sector automotriz, así como la dirección a la que se dirige.
Expertos de Castroalonso, GMW, The Security Sentinel y WatchGuard analizan la implantación de sistemas en el sector.
Abril ha finalizado con un total de 98.522 turismos nuevos vendidos, lo que supone un crecimiento del 7,1% respecto al mismo mes del año pasado. A pesar de haber contado con la Semana Santa, a diferencia del año pasado que fue a finales de marzo, el mercado ha seguido su buen comportamiento, encadenando su ya octavo mes de crecimiento.
El evento “Impulsando la Sostenibilidad”, organizado por Sernauto, HAYS y Fundación Repsol, analizó los principales retos y oportunidades la actual transición.
EBRO eleva a 50 el número de puntos de venta en todo el país, apenas cuatro meses después del lanzamiento de su primer modelo, el s700.