La ciberseguridad automotriz pasó de ser una demostración en laboratorio a una prioridad en las salas de juntas en 2024, ya que investigadores, delincuentes y fallos en la infraestructura se unieron para poner a prueba el software de los coches modernos. Desde exploits galardonados en un concurso de hacking de la industria en Tokio, hasta un colapso de IT en un concesionario en EE. UU. y una corrección de firmware de cargador de alto perfil en septiembre, el año dejó claro que el código ahora impulsa el comercio tanto como lo hacen las ruedas. Los reguladores también apretaron las tuercas, con nuevos requisitos de ciberseguridad que entraron en plena vigencia en los principales mercados. Los impactos inmediatos fueron evidentes: parches por aire, citas de servicio y planes de contingencia que se extendieron desde las fábricas hasta los concesionarios.
En el Pwn2Own Automotive de enero en Tokio, los equipos de seguridad demostraron exploits funcionales contra componentes y servicios de vehículos, incluyendo un Tesla y equipos de infoentretenimiento y telemática de terceros, ganando premios de seis cifras y obligando a respuestas rápidas por parte de los fabricantes. Los organizadores enfatizaron la divulgación coordinada, y los fabricantes afectados lanzaron actualizaciones por aire en cuestión de días o emitieron avisos con cronogramas de parches. El evento puso de relieve la creciente madurez de los programas de recompensas por errores de los fabricantes de automóviles y el valor de los ejercicios de equipos rojos antes de que los atacantes encuentren las mismas vulnerabilidades. Para los conductores, el efecto inmediato fue un aviso de actualización y, cada vez más, notas de lanzamiento transparentes que explican qué cambió y por qué.
Fuera del laboratorio, los delincuentes utilizaron relés de entrada sin llave e inyecciones a través del bus CAN para robar SUVs populares, lo que llevó a marcas como Toyota y Jaguar Land Rover a implementar contramedidas a principios de 2024. Los fabricantes ofrecieron modificaciones, cableado reforzado y cambios de software, mientras que los modelos más nuevos incorporaron llaves digitales de ultra ancho de banda para contrarrestar los ataques de relé. Las fuerzas policiales en el Reino Unido y la UE informaron reducciones en los robos de los modelos que recibieron las actualizaciones, aunque los vehículos más antiguos aún enfrentan un riesgo elevado hasta que se completen las citas. Mientras tanto, las aseguradoras ajustaron las primas y requisitos, empujando a los propietarios hacia mejoras de seguridad y almacenamiento Faraday para los llaveros antiguos.
La superficie de ataque se extendió más allá del automóvil en junio, cuando un ciberataque a CDK Global obligó a miles de concesionarios en EE. UU. a desconectarse, retrasando las ventas y órdenes de reparación durante días. Aunque ningún vehículo fue controlado de forma remota, la interrupción mostró cómo los sistemas de gestión de concesionarios y las redes de piezas son ahora parte de la disponibilidad y seguridad de los vehículos. En el frente regulatorio, los requisitos de UNECE WP.29 R155 se aplicaron a todos los nuevos registros de vehículos en muchos mercados a partir de julio de 2024, formalizando los sistemas de gestión de ciberseguridad y las obligaciones de respuesta ante incidentes.
Los fabricantes de automóviles afirman que las reglas ayudaron a acelerar los procesos de actualización segura y las auditorías a proveedores que ya estaban en marcha. La infraestructura de carga también estuvo bajo la lupa después de que investigadores revelaran en septiembre que una clave privada incrustada en el firmware de ciertos cargadores de ChargePoint podría ser utilizada para suplantar dispositivos; la compañía revocó certificados y lanzó actualizaciones. Las utilidades y los operadores de flotas coordinaron la rotación de credenciales y la verificación de identidades de los cargadores, minimizando el tiempo de inactividad para los conductores. Este episodio reforzó los llamados a una mejor higiene en la firma de código y pruebas de penetración rutinarias en todo el equipo de suministro de vehículos eléctricos.
De cara a 2025, los grupos de la industria están priorizando la implementación de ISO 15118-20 y el monitoreo continuo, con el objetivo de hacer que las correcciones de seguridad sean tan rutinarias—y invisibles para los conductores—como cualquier otro ciclo de mantenimiento.
