Por qué la ciberseguridad es un factor crítico en la industria de la automoción/movilidad de Euskadi
Por Azucena Hernández
El mes de septiembre de 2025 se ha convertido en el “mes negro” para Jaguar-Land Rover y, también, para sus empresas proveedoras e, incluso, para el Gobierno británico, justo cuando la marca Jaguar cumple 90 años de historia. La razón, varias fábricas del Reino Unido han sufrido uno de los mayores ciberataques que, hasta la fecha, se ha producido contra la industria de la automoción en el mundo… ¿Las consecuencias de este ciberataque?: la paralización del 100% tanto de la producción, como de la venta de sus vehículos, con unas pérdidas diarias estimadas en 80 millones de euros -en total se estima que el ciberataque a supuesto 2.300 millones de euros de pérdidas-, lo que ha llevado al propio gobierno británico a tener que realizar un préstamo al fabricante por un valor de 1.800 millones de euros…
Tras analizar lo sucedido en Reino Unido, quizá es el momento de reflexionar sobre las consecuencias podría tener que en Euskadi se produjera un ciberataque similar contra una industria en la que trabajan 300 empresas vascas, dando empleo a 40.000 personas y que genera una facturación de 25.000 millones de euros anuales… Resultan suficientes para darnos cuenta que, un ciberataque similar al que sufrió Jaguar-Land Rover, pondría en peligro uno de los ejes industriales de Euskadi y, por eso, es muy necesario que todas las personas que trabajamos en esta industria seamos conscientes de la importancia que tiene la correcta aplicación de las medidas de ciberseguridad que, desde junio de 2020 nos marca la normativa europea de ciberseguridad para vehículos: la UNECE/R155.
Medidas de ciberseguridad
Esta normativa europea nació con el objetivo de proteger al conductor y a los pasajeros de las consecuencias que un ciberataque puede provocar sobre un vehículo, pero, además, esta normativa no se olvidó de la importancia que tiene la implementación de medidas de ciberseguridad en todos los procesos que afectan al ciclo de vida de los vehículos y que deben aplicar los fabricantes, transformadores, proveedores de productos y servicios de la industria de la automoción y concesionarios y talleres. De hecho, la UNECE/R155 dictó la obligación de que, para poder vender y fabricar vehículos en Europa, todos los fabricantes y transformadores debían homologar el vehículo y su Sistema de Gestión de la Ciberseguridad -CSMS por sus siglas en inglés, “Cybersecurity Management System”-, anticipándose al CyberResiliencie Act o CRA -normativa que será de aplicación a todos los fabricantes de dispositivos IoT en Europa, a partir de diciembre de 2027, y que excluye a los fabricantes y transformadores de automoción por tener una normativa propia de ciberseguridad.
Es muy necesario que todas las personas que trabajamos en esta industria seamos conscientes de la importancia que tiene la correcta aplicación de las medidas de ciberseguridad
Con el objetivo de que las marcas no pudieran alegar desconocimiento en la forma de aplicar ese CSMS, de forma paralela a la normativa, se generó la ISO 21434 que marca los requisitos de ingeniería para la gestión de riesgos de ciberseguridad: concepto, desarrollo del producto, producción, funcionamiento, mantenimiento y proceso de baja -sobre todo, de los sistemas eléctricos y electrónicos que incorporan los vehículos-.
Así que, desde julio de 2024, cualquier fábrica de Europa debe disponer de una homologación de su CSMS para poder fabricar coches, camiones, furgonetas, autobuses, autocaravanas… y, a partir de 2029, esta misma obligación se trasladará a los fabricantes de motos, ciclomotores y bicicletas eléctricas que superen los 25 km/h… y aviso para los fabricantes y transformadores que no son europeos, porque la misma obligación van a tener que cumplirla si quieren vender sus vehículos en Europa.
A los cuatro años de su publicación
Quizá, lo más importante de la normativa UNECE/R155, es que los legisladores siempre han sido conscientes de la importancia que tiene la aplicación de medidas de ciberseguridad en las fábricas de vehículos y, por eso, la normativa se ha aplicado de forma rápida -a los 4 años de su publicación-, sin que se hayan producido ningún tipo de demora en su entrada en vigor.
Por eso, conscientes de la importancia de establecer medidas de ciberseguridad en las fábricas de vehículos -tal y como indica la UNECE/R155- en EUROCYBCAR desarrollamos una nueva tecnología: CATWAM -Cybersecurity Assessment Test for WEBs & Apps for Mobility- que, tras ejecutar de forma estandarizada y automatizada una batería de pruebas, emite una valoración del nivel de seguridad de las plataforma WEB, Apps móviles y escaneo de puertos para fabricantes de vehículos, indicando las posibles mitigaciones que deben implementarse, en base a todos los riesgos detectados y sus respectivos grados de gravedad, según los requisitos que marca la UNECE/R155… Así que, de nuevo, EUROCYBCAR ha vuelto a situarse como un referente internacional a la hora de mejorar la CyberMovilidad de Euskadi y del mundo…
Esta nueva tecnología se suma al producto estrella de EUROCYBCAR: la plataforma modular ESTP, que permite evaluar -de forma estandarizada, objetiva y automatizada- y certificar el nivel “real” de ciberseguridad de un vehículo -coche, camión, autobús, furgoneta, autocaravana, moto, bicicleta eléctrica…- conforme a los requisitos que marca la normativa UNECE/R155.
Porque creo necesario que todos los que trabajamos en el ámbito de la industria de la automoción de Euskadi y las instituciones públicas debemos sumar nuestras capacidades y nuestro expertise -en el caso de EUROCYBCAR, el de la ciberseguridad aplicada a la movilidad- con el objetivo de que nuestra industria no se vea afectada por un ataque similar al que se produjo contra Jaguar-Land Rover… porque las consecuencias serían desastrosas para la economía de muchas empresas vascas… Lo bueno es que estamos a tiempo de hacer bien los deberes y evitar que esto suceda, pero sin olvidar que, para conseguirlo, todos -fabricantes, carroceros/transformadores, instituciones públicas, empresas privadas y usuarios- debemos trabajar juntos.
Azucena Hernández, CEO y Fundadora de Eurocybcar y de Grupo Cybentia
