Tu coche puede ser pirateado. Y desde julio de 2024 Bruselas obliga a los productores a demostrar que han hecho todo lo posible para impedirlo. La norma se llama CEPE R155 y está cambiando la forma en que se diseñan, aprueban y venden los automóviles conectados en toda la Unión Europea.

Te lo digo claro: si el modelo que piensas comprar no cumple con esta certificación, no será registrado. No importa si se trata de un coche eléctrico chino, un SUV alemán o un sedán premium japonés. Sin un sello de seguridad informático no se puede entrar al concesionario.

¿Qué dice exactamente UNECE R155?

La norma fue creada dentro de la Comisión Económica de las Naciones Unidas para Europa y obliga a los productores a implementar un Sistema de gestión de seguridad cibernética (CSMS, sistema de gestión de ciberseguridad) que cubre todo el ciclo de vida del vehículo: diseño, producción, posventa y desguace.

En la práctica, la marca debe demostrar tres cosas al organismo de homologación. Primero, ha identificado los riesgos de piratería de cada modelo. En segundo lugar, ha implementado contramedidas reales (cifrado de comunicaciones, autenticación de actualizaciones, control de intrusiones). En tercer lugar, puede reaccionar si aparece una vulnerabilidad cuando el coche ya está en la carretera, parcheado OTA (por el aireactualizaciones inalámbricas) dentro de un tiempo razonable.

El reglamento oficial publicado por la UNECE entró en vigor para los nuevos modelos en julio de 2022 y se ha extendido a TODOS los vehículos en producción desde julio de 2024. Es decir, no hay margen: cualquier coche que salga hoy de fábrica para venderse en la UE debe llevar su certificado.

¿Por qué te afecta incluso si no eres un experto en informática?

Los automóviles modernos tienen entre 70 y 150 unidades de control electrónico. Todo el mundo es una puerta potencial. Se han documentado ataques que van desde el robo silencioso hasta la amplificación de claves (el famoso ataque de relevo) hasta intrusiones que toman el control del frenado o la dirección a través del sistema de infoentretenimiento.

¿Qué cambia para ti con el R155? Cosas muy específicas:

• Las actualizaciones de software de tu coche llegan firmadas y verificadas, no pueden ser manipuladas en carretera.
• El acceso al puerto OBD2 (el conector de diagnóstico) está más blindado, lo que dificulta el robo electrónico.
• Si se produce un fallo de seguridad grave, el fabricante está obligado a informarlo y solucionarlo, como en el caso de una retirada mecánica.
• Los datos que envía tu coche (geolocalización, hábitos de conducción, contactos móviles sincronizados) deben viajar cifrados.

Tenga en cuenta: la norma no impide que el fabricante recopile datos. Esto está regulado por el RGPD. Lo que esto evita es que esos datos viajen desprotegidos o que terceros puedan interceptarlos.

Lo que el sector aún no ha resuelto del todo

Este es el momento de dar mi opinión, y lo doy con datos. El R155 es un gran avance, pero tiene defectos. La primera: modelos anteriores a julio de 2022. Si tu coche es 2020 o 2021 no tiene por qué cumplir nada de esto. Y la flota que circula en España supera los 25 millones de vehículos, según datos de matriculaciones públicas de ANFAC. La mayoría no tiene CSMS y nunca lo tendrá.

Segundo flec, fechas límite para la actualización del parche. El estándar exige que el fabricante reaccione, pero no fija un límite máximo concreto de horas o días para publicar el parche. En el mundo puro del software, una vulnerabilidad crítica se soluciona en un plazo de 24 a 72 horas. En la industria del automóvil hemos visto casos en los que han pasado meses. Hace tiempo que circula por las carreteras un coche conectado a Internet.

Tercero: la diferencia entre marcas. Los europeos y los japoneses llevan años preparándose. Algunas marcas chinas que ahora están aterrizando en Europa han tenido que rehacer arquitecturas de software enteras para cumplir, y esto explica los retrasos en los lanzamientos que hemos visto a lo largo de 2025. El R155 es, de hecho, una barrera de entrada al mercado europeo. Buenas noticias para la seguridad del conductor; Malo para quienes esperaban un coche eléctrico chino más barato y lo encontraron con seis meses de retraso.

La siguiente etapa fundamental está marcada en el calendario: la revisión que se discute en Ginebra en el segundo semestre de 2026, donde se discutirá sobre extender la norma con mayor rigor a los vehículos pesados ​​y fortalecer los tiempos de respuesta ante las vulnerabilidades. Ten cuidado, porque hay un juego sobre qué tan seguro será tu próximo coche.

Información útil para el conductor.

• Base jurídica: Reglamento UNECE R155 sobre ciberseguridad y CSMS, obligatorio en la UE para todos los vehículos en producción a partir de julio de 2024.
• ¿Quién está interesado? a cualquier coche, furgoneta o vehículo conectado nuevo matriculado en la UE. Los modelos anteriores no son necesarios.
• Qué requiere: sistema de gestión de ciberseguridad certificado, actualizaciones OTA firmadas, cifrado de comunicaciones y plan de respuesta a vulnerabilidades.
• Consejo para el motor Merca2: Antes de comprar, solicite al distribuidor el certificado R155 del modelo y la política de actualización de software. Si no pueden responderte, es mala señal.
• Curiosidad: El Reino Unido, Japón y Corea del Sur han adoptado el mismo estándar, convirtiéndolo en un estándar global de facto. Estados Unidos procede por su cuenta con directrices de la NHTSA menos exigentes.