'Connected car' y ciberseguridad: presente y futuro

El despliegue de las redes 5G junto con los avances en inteligencia artificial van a hacer posible una transformación profunda de la movilidad. Una de las principales consecuencias va a ser la evolución exponencial de la conectividad asociada al automóvil que acelerará la implementación de la conducción autónoma convirtiendo al automóvil en el dispositivo basado en Internet de las cosas ("IoT") más destacado, no sólo por su potencial como elemento autónomo, sino por su papel para el desarrollo de las smart cities, y potencialmente también, de los hogares inteligentes o connected home cuando el vehículo esté aparcado en nuestro hogar.

Mucho se ha escrito sobre las derivadas económicas, tecnológicas e incluso geopolíticas que nacen de esta disrupción digital, pero quizás la que más actualidad está cobrando es la propia ciberseguridad de los vehículos conectados. Así, por ejemplo, el reciente intento de hackeo en la factoría de Tesla habría supuesto una brecha que podría haber afectado a todo el parque automovilístico comercializado por la compañía. Debe señalarse que las interacciones de estos vehículos conectados suponen la posibilidad de acceso a la esfera más preciada y privada de nuestra vida familiar: información conserva en nuestro teléfono, sistemas de domótica de nuestra casa. También puede ponerse nuestra integridad física en manos de un sistema que, evidentemente, debe ser estable y seguro. Por ello, sin perjuicio de que en nuestras sociedades, en plena transformación digital, la seguridad de redes y sistemas debe ser una tarea prioritaria, lo cierto es que en el caso de los vehículos autónomos esa preocupación por reforzar la ciberseguridad es todavía más crucial.

De hecho, la perspectiva jurídica es muy amplia, ya que asuntos tales como las responsabilidades legales derivadas de un funcionamiento defectuoso de los dispositivos basados en Inteligencia Artificial (IA) ofrecen múltiples interrogantes que los reguladores deberán ir despejando. Así, por ejemplo, la Comisión Europea ha dedicado en su Libro Blanco sobre Inteligencia Artificial de febrero de 2020, una parte importante del texto a poner de relieve los múltiples interrogantes jurídicos que se ciernen sobre el vehículo autónomo en cuanto a las responsabilidades derivadas del funcionamiento de los algoritmos en los que se basa y de la seguridad de la enorme cantidad de datos que se van a generar. Por ello, la Comisión ha establecido la necesidad de crear un espacio común de datos en materia de movilidad que afecta especialmente a la conducción autónoma.

A eso se añaden aspectos éticos y de cumplimiento normativo de otro tipo, asociados al uso de IA que en el caso del automóvil se agudizan, tales como los datos de entrenamiento, el almacenamiento de datos, la información que se debe facilitar al usuario, la robustez y precisión del sistema, o la supervisión humana final. En definitiva, los factores clave aplicables a todas las aplicaciones de IA como el reconocimiento facial, son aún más complejos y trascendentes en el caso de la conducción autónoma.

Por otra parte, el nuevo Reglamento europeo de Seguridad de los Vehículos que entrará en vigor en 2022, obliga a que los coches nuevos dispongan de un certificado de ciberseguridad para ser comercializados. Es la consecuencia lógica de un mercado único europeo que pretende proteger al consumidor, regular con claridad el régimen de responsabilidades y al mismo tiempo no limitar la investigación y la inversión. El sector debe tener en cuenta que las certezas jurídicas en esta materia, tanto desde el punto de vista del cumplimiento normativo externo, como desde el punto de vista interno de los procedimientos, son imprescindibles.

Por ello, ya son muchas las empresas de ciberseguridad que están desarrollando productos para asegurar estos vehículos y es evidente que esta es una de las preocupaciones de los grandes fabricantes. La propia ENISA, la Agencia encargada de la Ciberseguridad en la UE, ha insistido en la necesidad de reforzar la seguridad de los coches conectados y ha colocado este asunto como prioridad a la hora de regular los esquemas obligatorios de certificaciones de ciberseguridad que está ahora mismo desarrollando.

Dentro de la convergencia que se está produciendo entre distintos ámbitos regulatorios, el de protección de datos y el de la ciberseguridad, tal y como ya explicita ENISA en sus recomendaciones, sería incluso necesario hablar de una "ciberseguridad desde el diseño" donde el impacto regulatorio de la Ciberseguridad se incluyese como un requisito imprescindible a tener en cuenta en la fabricación de cualquier pieza o parte de un dispositivo mayor asociado a un coche conectado. En definitiva, los fabricantes y suministradores necesitan proteger los vehículos contra las amenazas de ciberseguridad y por ello todo el sector debe introducir esta variable desde el mismo diseño del vehículo, hasta su fabricación, la cadena de suministro o los sistemas de recarga.

Aunque a pesar de la creencia popular de que no sea cierto que en la cultura china crisis sea igual a oportunidad, esperemos que sí lo sea en la española y en una etapa donde el impacto del Covid ha sacudido los estándares de gran parte de la industria, y pueda ser una oportunidad para, entre otras, la industria española de proveedores de automoción. Contar con una "ciberseguridad desde el diseño" en sus procesos e incluso obtener ya una certificación que será obligatoria en un futuro próximo pueden ser dos magníficas oportunidades.

Para ello, es necesario que la industria adopte estrategias propias que además cumplan con el numeroso conjunto de normas jurídicas que conforman el marco regulador de la ciberseguridad a nivel europeo y nacional. Este cumplimiento normativo protege a la empresa frente a las consecuencias económicas, legales y comerciales que pueden ser desencadenadas por un ciberataque; entre otras, los daños que puedan sufrir los sistemas o las personas, la pérdida de datos y de información relevante o de información de carácter personal que afecte a los usuarios, el coste reputacional, las posibles sanciones por parte de la autoridad competente o las posibles responsabilidades jurídicas de todo tipo que se puedan deducir.

Vicente Moret Millás. 'Of Counsel' de Andersen. Letrado de las Cortes Generales.
Carlos Rodríguez Sau. Socio CSV Consulting

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *