El sector automovilístico también sufre accidentes de ciberseguridad

Las nuevas tecnologías están presentes en todos los ámbitos, y la carretera es uno de ellos. Como consecuencia de ello, los peligros al volante ahora también han pasado a ser de ámbito cibernético.

Los vehículos modernos no son solo motores y carrocería: son ordenadores sobre ruedas, conectados a Internet, con acceso a servicios del fabricante y gestionando millones de datos. Esta digitalización ha traído consigo numerosas ventajas, pero también ha abierto una puerta gigantesca para los ciberdelincuentes.

Año tras año los ciberataques en el sector automovilístico han ido en aumento; solo en 2024 crecieron un 39%. El coste promedio de estos ataques supera actualmente los 4,4 millones de euros; todo ello sin tener en cuenta las pérdidas de producción o reputación que traen consigo.

Y es que no todos buscan robar datos: algunos paralizan fábricas, otros manipulan el software de los vehículos— alterando su comportamiento—, y algunos simplemente generan caos.

Grandes marcas como Renault, Jaguar Land Rover, Stellantis, BMW o Dacia han sido víctimas en este año 2025 de incidentes que, aunque de distinta naturaleza, comparten lecciones valiosas sobre la importancia de la ciberseguridad en la industria automotriz. Desde All4Sec analizan algunas de ellas:

La cadena de suministro es un eslabón crítico

Renault y Dacia confirmaron que el robo de datos en el Reino Unido se originó a través de un proveedor externo encargado del procesamiento de datos. Aunque los sistemas internos de ambas marcas no fueron comprometidos, la brecha en el proveedor afectó a información personal de clientes, incluyendo nombres, direcciones y detalles de vehículos. Este incidente subrayó la necesidad de evaluar y asegurar la seguridad de todos los actores en la cadena de suministro —y de advertir de los posibles riesgos a los usuarios—, pero también mostró como normativas de seguridad como la NIS2 tienen mucho que aportar en este sector.

La protección de datos es una responsabilidad compartida

Jaguar Land Rover sufrió un ciberataque de ransomware a gran escala por el que tuvo que, de manera temporal, cerrar sus plantas de Reino Unido y sus instalaciones en India, China, Eslovaquia y Brasil, paralizando su producción y derivando en pérdidas millonarias tan elevadas, que han llevado al Gobierno británico a conceder un crédito de emergencia de 1.500 millones de libras. En septiembre, la marca confirmó que el volumen de datos extraído era considerable y hasta este mes de octubre no han empezado a reactivar su actividad.

Este caso evidencia que la ciberseguridad no es solo responsabilidad del departamento de TI de una compañía, porque incluso puede afectar a la propia seguridad de los productos (vehículos) que fabrica. La integración IT/OT y la gestión de su seguridad son elementos fundamentales dentro de entornos de producción industriales altamente tecnificados y geográficamente distribuidos. La criticidad de las empresas de este sector en la economía global puede dificultar, por ejemplo, los planes económicos —y sociales— de muchos gobiernos.

La resiliencia operativa es tan importante como la protección de datos

BMW fue víctima de un ataque que expuso documentos críticos de auditoría. Aunque no se reveló la cantidad exacta de datos comprometidos, el incidente puso de manifiesto la importancia de contar con planes de contingencia que permitieran a la empresa continuar sus operaciones. La resiliencia y la continuidad del negocio se han demostrado una vez más como características críticas.

La formación continua es esencial

Los ataques recibidos por estas compañías también han evidenciado que el factor humano sigue siendo una de sus principales vulnerabilidades. La capacitación constante en ciberseguridad, la simulación de ataques, la gestión y el control de privilegios de acceso o la concienciación sobre las amenazas actuales son fundamentales para reducir significativamente el riesgo de incidentes. Conceptos como Zero Trust se convierten en referentes indispensables.

La ciberseguridad como ventaja competitiva

En un entorno donde la sociedad valora cada vez más la seguridad de los productos que utiliza o la protección de los datos (personales, de sistemas, del entorno…)  que manejan, las compañías que quieran sobrevivir deberán mostrar un compromiso sólido con la ciberseguridad. 

Cumplir con normativas de seguridad, sean de carácter personal, como el RGPD, de infraestructuras críticas, como la NIS2, de desarrollo de productos robustos como persigue la nueva legislación europea Ciber Resilience Act o la ISO-SAE-21434, no solo evitará sanciones, sino que también fortalecerá la confianza la sociedad en sus productos y servicios.

La industria de automoción pues se encuentra en una encrucijada porque la innovación que impulsa su futuro también la expone a nuevos riesgos. De este modo, así como el cinturón de seguridad se hizo indispensable en los vehículos cuando la sociedad se dio cuenta de que su uso evitaba males mayores —y el resultado ha sido más que evidente—, las medidas de ciberseguridad serán percibidas como indispensables cuando nos demos cuenta de que incidentes como los descritos podrían haberse atenuado, o incluso evitado, si recibieran la atención adecuada.