Tu auto genera hasta 25 GB de datos por hora mientras conduce, lo que lo convierte en un objetivo deseable para cualquiera que sepa cómo navegar por líneas de código. No es ciencia ficción ni una distopía de Netflix. Esto es lo que está pasando ahora mismo en cada vehículo conectado que circula por la M-30, la AP-7 o en el polígono industrial donde estacionas tu furgoneta de empresa.

Y sí, te afecta más de lo que crees. Especialmente si gestionas una flota.

¿Qué datos genera tu coche y por qué los quieren los hackers?

Un coche moderno no es un coche. Es una computadora sobre ruedas. La ECU central, los sistemas. ADA (asistentes avanzados a la conducción, como frenada autónoma o mantenimiento de carril), infoentretenimiento, GPS, conexión 4G propia del fabricante, la app móvil que abre el coche de forma remota. Todo ello emite y recibe información sin parar.

¿Qué tipo de datos? Ubicación exacta en tiempo real, hábitos de conducción, contactos sincronizados desde tu teléfono móvil, rutas habituales, paradas frecuentes, contraseñas guardadas en perfiles, datos biométricos en modelos premium con reconocimiento facial. Además, en una flota de reparto, los horarios completos del conductor, los puntos de entrega y los esquemas logísticos de la empresa.

Vale la pena. Mucho dinero. Y no sólo por dentro red oscuraLos competidores industriales, las mafias de robo de coches por contrato y, en casos documentados, incluso los atacantes que exigen un rescate para devolverle el control del coche lo quieren.

El reglamento R155 que obliga a los productores a partir de 2024

Aquí es donde el Norma CEPE R155vigente en la Unión Europea a partir de julio de 2024 para todos los vehículos nuevos homologados. Lo que se dice, en Roman Paladino, es que ningún coche puede salir de fábrica sin un sistema de gestión de seguridad informática certificado. La marca debe demostrar que ha analizado los riesgos, implementado contramedidas y mantiene un proceso de actualización durante toda la vida útil del vehículo.

Los detalles se pueden encontrar en el sitio web oficial de la CEPE sobre regulaciones de vehículos, donde se pueden encontrar los textos completos. Tenga cuidado: el R155 obliga al fabricante, no a usted. Si compras un coche homologado después de esta fecha, el blindaje es estándar. Si su flota tiene vehículos 2021 o 2022, está fuera del alcance.

Y ahí es donde aparece el agujero. Marcas como Volkswagen, Toyota o Renault han retirado modelos del mercado europeo o retrasado su lanzamiento por no conseguir la certificación a tiempo. Otros fabricantes han reconocido vulnerabilidades en sus aplicaciones oficiales que les han permitido rastrear y, en algunos casos, desbloquear vehículos de forma remota.

Por qué las flotas son el objetivo número uno y qué se está haciendo mal

Si tienes 5 coches de empresa, eres un objetivo. Si tienes 50 años eres un objetivo prioritario. Si tienes 500, ya hay alguien estudiándote. Lo digo sin dramatismos: las flotas concentran datos sensibles, suelen tener telemática conectada al servidor de la empresa y, en muchos casos, comparten claves de acceso entre conductores.

El grave problema es que el sector se está tomando la situación como se ha tomado la situación RGPD en 2018: tarde, malo y reacio. Hablo con gestores de flotas que todavía no saben qué SOC (centro de operaciones de seguridad) cubre sus vehículos, ni si su alquilar incluye actualizaciones de firmware, ni qué pasa con los datos cuando devuelven el coche al finalizar el contrato.

Mi opinión, después de ver el percal: el R155 está bien diseñado pero se queda corto. Cubre los vehículos nuevos y deja una enorme flota de coches conectados antes de 2024 sin obligación retroactiva. En EE.UU. ya se debate sobre la necesidad de realizar auditorías periódicas de las flotas comerciales, y la UE tendrá que seguir este camino antes de 2028. Mientras tanto, la responsabilidad de proteger los datos de su empresa es suya. Incluso si alguien más conduce el coche.

El próximo paquete de Comisión Europea sobre movilidad conectada, previsto para finales de 2026, debería colmar este vacío. Busque borradores que se publicarán en el otoño.

Información útil para el conductor.

• Base jurídica: Reglamento UNECE R155, vigente en la UE desde julio de 2024 para vehículos nuevos homologados.
• Riesgo principal: robo de datos personales, geolocalización en tiempo real y, en casos extremos, control remoto de funciones del vehículo.
• Consejo del motor 16: Consulta las apps oficiales del fabricante, desactiva permisos innecesarios y solicita a tu empresa que lo haga alquilar un protocolo de eliminación de datos al devolver el coche.
• Alerta de flota: Separe claves de acceso por controlador, no comparta perfiles y solicite por escrito la política de actualización de firmware del proveedor.
• Curiosidad: Japón aplica un estándar equivalente a partir de 2022 y también exige informar de los incidentes de ciberseguridad en menos de 72 horas, algo que la UE aún no exige.