Los vehículos definidos por software (SDV) son cada vez más populares. La demanda de los clientes aumenta. Para satisfacer las crecientes expectativas de experiencias excepcionales en el vehículo, los fabricantes recurren a tecnologías avanzadas como las actualizaciones «over the air» (OTA) para funciones innovadoras. Sin embargo, la digitalización también conlleva mayores riesgos para la seguridad. ¿Cómo pueden las marcas de automóviles mejorar la seguridad para protegerse de los nuevos tipos de amenazas?
Cada vez se integra más software en los vehículos modernos a medida que crece la demanda de vehículos conectados en red por parte de los clientes. Las marcas mundiales de automóviles cumplen estos requisitos con enfoques innovadores. Los vehículos más nuevos incluyen variadas funciones como sistemas avanzados de asistencia al conductor (ADAS) para no salirse del carril, infoentretenimiento en red para ofrecer contenidos personalizados o mantenimiento predictivo para supervisar el estado del vehículo.
El fabricante de coches estadounidense Ford, por ejemplo, ofrece una solución que permite a los propietarios de flotas seguir la ubicación de los vehículos en tiempo real, controlar el consumo de combustible y recibir alertas. La solución de Ford se basa en tecnologías como el GPS, el cloud y el análisis de datos. Esta solución ayuda a los propietarios de flotas a optimizar las operaciones y permite un mantenimiento predictivo. Ford también ofrece funciones como la supervisión del estado del vehículo, la programación de citas con el concesionario y el análisis de la seguridad y la eficiencia del combustible.1
Los SDV ofrecen numerosas ventajas tanto a los fabricantes como a los clientes finales. Algunas de las ventajas más buscadas son menores costes, plazos de comercialización más cortos, un modelo de negocio diferenciado, mayor rendimiento, una experiencia de usuario moderna, mayor seguridad y actualizaciones periódicas de los vehículos. Los fabricantes se benefician de una mayor eficiencia y de nuevas oportunidades de ingresos, mientras que los clientes se benefician de una experiencia de usuario más atractiva y de un mejor rendimiento del vehículo.
A medida que la experiencia del cliente adquiere protagonismo, los fabricantes de automóviles invierten cada vez más en software. El mercado de SDV alcanzará un valor de entre 400.000 y 600.000 millones de dólares en 2030.2 A medida que aumenta el impacto del software en la industria automovilística, las empresas se plantean ampliar sus capacidades de software. Los fabricantes esperan triplicar su facturación gracias al software y la electrónica: de 87.000 a 240.000 millones de dólares de aquí a 2030.3
La figura de al lado muestra una comparación del contenido de software de varios dispositivos y equipos de hoy en día.4
De todas las innovaciones en el campo del software para vehículos, la capacidad de actualizar el software OTA es la que cambia las reglas del juego. Los vehículos llevan años siendo equipados con software y los SDV ya no son realmente nada nuevo, pero la opción de actualizar y mejorar continuamente las funciones del vehículo está causando sensación en el sector.
La función de actualización OTA cambia la forma en que los clientes perciben sus vehículos y cómo los fabricantes aumentan su vida útil ampliando continuamente sus prestaciones. Con la tecnología OTA, los fabricantes pueden actualizar repetidamente determinadas funciones, mejorar el rendimiento y rectificar errores. En cierto modo, los usuarios pueden crear vehículos personalizados y beneficiarse de las últimas funciones que hacen que los vehículos sean relevantes y modernos, como suele decirse. Los usuarios reciben actualizaciones y otras notificaciones en sus coches, de forma similar a los smartphones. Algunas marcas de automóviles van más allá con este tipo de actualizaciones.
Tesla, un conocido fabricante de coches eléctricos, por ejemplo, permite a sus usuarios instalar actualizaciones mediante notificaciones en la pantalla táctil del vehículo. Como alternativa, la empresa también envía actualizaciones a través de su propia aplicación para dispositivos móviles.
En 2024, Tesla difundió varias actualizaciones por aire. Una de ellas permitía a los usuarios conectar sus vehículos al smartwatch de Apple. Los usuarios ya pueden desbloquear sus coches a través de la aplicación Apple Watch. También pueden controlar la apertura del maletero y el aire acondicionado a través del smartwatch, por ejemplo.5
Las actualizaciones OTA son una forma que tienen los fabricantes de proporcionar actualizaciones de software para vehículos de forma remota a través de una red inalámbrica. Varios sistemas, incluidos los relacionados con el infoentretenimiento, la navegación, el control del motor, las funciones de seguridad, el rendimiento, las nuevas funciones y la ciberseguridad, se actualizan o cambian mediante la tecnología OTA. Las actualizaciones OTA se ejecutan a través de una infraestructura segura en el cloud y se comunican con la unidad de control telemático (TCU) o el sistema de infoentretenimiento del vehículo. Para ello se utilizan redes móviles (incluidas 4G/5G) y WiFi.
El enfoque iterativo con actualizaciones OTA garantiza el desarrollo continuo de los vehículos y la disponibilidad permanente de las últimas innovaciones. Al mismo tiempo, se pueden tener en cuenta las opiniones de los clientes. La capacidad OTA mejora la propuesta de valor de los SDV. La industria automovilística se encamina hacia una era en la que el software para los vehículos modernos se convertirá en una necesidad y no en un lujo. El uso de software será el factor decisivo para los fabricantes de automóviles si quieren asegurarse grandes cuotas de mercado.
Esta tendencia está impulsada por la creciente demanda de los clientes actuales. Los clientes de hoy quieren experiencias conectadas en los vehículos. En una encuesta realizada por McKinsey, alrededor del 39 % de los consumidores alemanes y el 55 % de los consumidores chinos afirmaron que cambiarían de marca de coche por una mejor conectividad. Si esta tendencia continúa, más del 90 % de los vehículos vendidos estarán conectados en 2030. Los clientes quieren, sobre todo, funciones agrupadas que contribuyan a una experiencia conectada.6
Los fabricantes deben centrarse en la capacidad OTA para ofrecer experiencias fluidas y un mayor valor. En 2024, alrededor del 24 % de los vehículos disponía de la tecnología OTA. En 2030, la cifra será del 78 %. Actualmente, 200 millones de vehículos en todo el mundo utilizan la tecnología OTA, y se prevé que esta cifra se duplique de aquí a 2030.
Como mucha gente está dispuesta a gastar dinero extra en nuevas características de los vehículos, las marcas de coches están aprovechando esta fuente de ingresos. El fabricante de coches y motos BMW, por ejemplo, ofrece a sus clientes su suspensión adaptativa M (con amortiguadores controlados electrónicamente) como parte de un modelo de suscripción. Los clientes de BMW pueden activar esta función por 25 euros al mes o 210 euros al año. También hay otras funciones disponibles por suscripción, como el asistente de aparcamiento, el asistente de conducción, los servicios a distancia, la configuración de las luces de bienvenida y el asistente de luces largas.7
Muchas otras marcas ofrecen servicios de suscripción a través de la función OTA. El modelo de suscripción es cada vez más popular y ofrece ingresos recurrentes a los fabricantes de vehículos. Según un estudio, los fabricantes de automóviles generarán alrededor del 10 % de sus ingresos con la venta de funciones adicionales.8 El gigante automovilístico europeo Stellantis prevé unos ingresos adicionales de 20.000 millones de euros procedentes de los vehículos conectados para 2030. General Motors y Ford, ambas estadounidenses, prevén unos ingresos adicionales de 20.000 millones de dólares cada una para ese mismo año.9
A medida que se generaliza la tecnología OTA, es preciso analizar los riesgos de ciberseguridad antes de que no haya quien los pare. La conectividad y los componentes de software amplían significativamente la superficie de ataque de los vehículos, ya que proporcionan numerosos puntos de entrada digitales que pueden ser explotados por hackers.
Muchas funciones de comunicación del SDV se basan en el acceso a Internet, los servicios en el cloud y los protocolos inalámbricos (como WiFi, Bluetooth y 4G/5G). Cada una de estas conexiones puede ser un vector de ciberataques, como el acceso no autorizado, la introducción de programas maliciosos o la interceptación de datos. La integración de importantes controles del vehículo (frenos, dirección, aceleración, etc.) en sistemas de software también permite a los hackers manipular estas funciones a distancia. Este sistema en red aumenta los riesgos y exige medidas de ciberseguridad sólidas para proteger tanto a los vehículos como a los usuarios.
Si no se aplican las medidas de protección adecuadas, los hackers pueden explotar las vulnerabilidades y robar datos o lanzar ataques de ransomware, por ejemplo. Más del 95 % de los ataques a coches en 2023 se realizaron a distancia. Solo el 5 % fueron agresiones físicas. Esto indica que el aumento de la conectividad alberga nuevos riesgos para la seguridad.10
En 2024, investigadores de seguridad descubrieron una vulnerabilidad en el sitio web del llamado Portal del Propietario de Kia, que habría permitido a los atacantes controlar a distancia millones de vehículos con un esfuerzo mínimo.
Debido a deficiencias en la API de backend, los hackers podrían haber obtenido acceso no autorizado a los comandos de los vehículos simplemente utilizando el número de matrícula y el número de chasis correspondiente. También era posible desbloquear, arrancar y parar vehículos, hacer sonar el claxon e incluso rastrear la ubicación del vehículo, todo ello sin que el propietario del vehículo lo supiera. El error también hizo accesibles datos de clientes como nombres, direcciones, direcciones de correo electrónico y números de teléfono. Además, los hackers podían registrarse como segundo usuario en la cuenta del vehículo para controlar funciones importantes sin que el propietario del vehículo lo supiera.
Podrían haber espiado a los conductores, robado el contenido de los vehículos o utilizado los datos comprometidos para el robo de identidad. Kia reconoció rápidamente el problema tras ser denunciado y lo solucionó a mediados de 2024, pero el incidente subraya la importancia de contar con medidas de seguridad sólidas en los sistemas de los coches conectados, ya que es vital evitar este tipo de infracciones.11
Hace unos años, unos investigadores descubrieron 14 puntos débiles en los sistemas de infoentretenimiento y telemática de BMW. Los atacantes podrían haber utilizado este método para inyectar remotamente código malicioso a través del proceso de actualización OTA. Tras la publicación del informe, BMW colaboró con los investigadores para corregir estas vulnerabilidades mediante actualizaciones OTA.12
Con el aumento de las redes y la conectividad, el número de ciberincidentes en los vehículos también está aumentando, y los incidentes tienen un impacto cada vez mayor. Solo en 2023, más de un millón de vehículos se vieron afectados. En algunos casos, los vehículos fueron retirados y, en otros, las empresas pagaron rescates para recuperar los datos y el acceso.13
Los hackers utilizan diversos métodos para acceder a los vehículos. Algunos ejemplos son la explotación de API, la ejecución de código remoto, la actualización de malware, la entrada sin llave, la intervención de relés, la interferencia de señales, los ataques a la cadena de suministro, la manipulación de cuentakilómetros, la inyección de malware y la explotación de vulnerabilidades. Las consecuencias financieras de los ataques pueden costar fácilmente millones.
Por ejemplo, los hackers pueden atacar a una empresa que ofrece gestión de flotas y tiene una vulnerabilidad en uno de sus sistemas, y obtener acceso no autorizado a los vehículos para manipular las funciones. Estos incidentes provocan interrupciones operativas, retiradas de vehículos, problemas legales y de cumplimiento, daños a la reputación y pérdidas financieras millonarias. Los clientes, por su parte, sufren malas experiencias, problemas de seguridad, robos de vehículos y violaciones de datos, entre otras cosas.
Los fabricantes de automóviles deben dar más prioridad a la ciberseguridad, ya que la conectividad desempeñará un papel más importante en los vehículos del futuro. La comunicación vehículo a todo (comunicación V2X) será el próximo gran tema. Gracias a la tecnología V2X, los vehículos podrán comunicarse con infraestructuras digitales, otros vehículos, redes, infraestructuras de cloud y otros dispositivos. Para ello, se utilizan API, sensores, cámaras, radares, módulos IoT, redes, etc., lo que aumenta la superficie de ataque.
El cifrado protege los datos sensibles de ser interceptados durante las actualizaciones OTA, algo esencial en un mundo cada vez más interconectado si se quiere mantener la confianza. El cifrado impide cualquier tipo de manipulación de la actualización del software.
La autenticación multifactor protege los sistemas del vehículo contra accesos no autorizados. Esto es importante porque los vehículos están conectados a varios sistemas de distintos tipos. La variedad de sistemas requiere diferentes interfaces de programación (API), lo que aumenta aún más los riesgos de seguridad, ya que las API son relativamente fáciles de piratear. Si se integra la seguridad de las API, se pueden proteger los puntos finales de comunicación y garantizar un intercambio de datos fluido pero seguro, algo crucial para los servicios en red.
Los cortafuegos y los sistemas de detección de intrusos vigilan y bloquean las amenazas en tiempo real. Esto es esencial, ya que los ciberataques contra los sistemas de los vehículos son cada vez más sofisticados. Los sistemas de inteligencia de amenazas permiten una defensa proactiva y ayudan a los fabricantes de automóviles a ir un paso por delante de las vulnerabilidades y amenazas.
El Centro de Operaciones de Seguridad de Vehículos (vSOC) proporciona transparencia en tiempo real con respecto a las amenazas en toda la flota de vehículos. Los vSOC difieren de los SOC normales porque, a diferencia de la infraestructura informática, los vehículos están en constante movimiento. Además, Endpoint Detection and Response (EDR) permite una rápida detección y contención en los puntos finales, lo que resulta esencial para minimizar los daños en caso de incidentes de seguridad.
La seguridad en el cloud de la industria del automóvil protege los sistemas backend que gestionan los datos y las actualizaciones OTA. Esto es crucial, ya que los vehículos dependen en gran medida de la infraestructura de cloud. La segmentación de la red puede utilizarse para minimizar las superficies de ataque y el impacto de los ataques, algo necesario para proteger las funciones críticas de los vehículos.
Además de las medidas de seguridad mencionadas anteriormente, los fabricantes de la industria del automóvil también deben centrarse en el principio de seguridad por diseño. Esto les permite prestar especial atención a los aspectos de seguridad en cada fase del desarrollo o la implantación del software. A medida que se añaden componentes al software, la mayoría de las vulnerabilidades solo pueden reconocerse cuando son explotadas por un atacante. Por ello, las empresas están obligadas a realizar pruebas de penetración y análisis de vulnerabilidades con regularidad. Las comprobaciones de código también son una parte importante de la publicación y distribución de actualizaciones OTA.
Con nuestra gama de soluciones para automoción y ciberseguridad, podemos mejorar la seguridad de los vehículos modernos. Además de desarrollar una estrategia de seguridad, también implantamos las tecnologías de seguridad adecuadas para las empresas automovilísticas. Nuestros Managed Services están diseñados para garantizar la disponibilidad operativa, la detección de amenazas basada en IA y la capacidad de respuesta las 24 horas del día. Nuestros analistas de SOC protegen los sistemas de TI/TO de los riesgos mediante la caza proactiva de amenazas, la detección de anomalías y la mitigación de riesgos en tiempo real.
También asesoramos a nuestros clientes del sector de la automoción sobre el cumplimiento de normas como ISO/SAE 21434 (Ingeniería de ciberseguridad de vehículos de carretera) y UNECE WP.29 (Ciberseguridad y actualizaciones de software), que son cruciales para mantener la seguridad y la confianza de los clientes. Ayudamos a nuestros clientes a reducir las vulnerabilidades y hacemos hincapié en la evaluación detallada de riesgos, las prácticas de desarrollo seguras y mucho más. Estas medidas no solo mejoran el cumplimiento normativo, sino que también ponen de relieve un compromiso activo con la seguridad, la fiabilidad y la resistencia.
Con T-Systems, los fabricantes de automóviles pueden controlar y reducir los riesgos, proteger su reputación, aumentar la confianza de los clientes reduciendo los incidentes de seguridad y evitar las pérdidas financieras asociadas a los ciberataques. Los CISO pueden mejorar el ROI de su seguridad con nosotros evitando costosas herramientas de seguridad y confiando en nuestra tecnología y talento. Los equipos de seguridad pueden evitar el agotamiento alineando sus prioridades con los objetivos de la organización y dedicando menos tiempo a las falsas alarmas.
T-Systems es uno de los principales proveedores de soluciones OTA que permiten a los fabricantes optimizar el rendimiento de los vehículos y ofrecer vehículos conectados. Ofrecemos soluciones personalizadas para cada cliente. Descubre más sobre nuestras capacidades de OTA en el informe de Frost & Sullivan.
1 Solución telemática, 2024, sitio web de Ford
2 Automotive Software Trends, 2023, Deloitte
3 Artículo sobre el mercado SDV, 2023, Boston Consulting Group
4 Informe sobre SDV y OTA, 2024, T-Systems y S&P Global
5 Actualizaciones del Apple Watch, 2024, página web de Tesla
6 Artículo sobre conectividad de los vehículos, 2024, McKinsey
7 Artículo de suscripción de BMW, 2024, TeamBHP
8 Artículo sobre ventas OTA, 2022, eeNews Europe
9 Artículo sobre «Connected Car Revenues», 2024, Forbes
10 Informe «Automotive Cyber Attacks», 2023, Statista
11 Artículo sobre piratería informática de vehículos, 2024, Wired
12 Noticias sobre BMW, 2018, BBC
13 Global Automotive Cybersecurity Report, 2024, Upstream
