El coche conectado ya no se protege solo cerrando bien las puertas. La nueva superficie de ataque está en el móvil del conductor. Las aplicaciones que permiten abrir el vehículo, arrancarlo, localizarlo, consultar datos o gestionar usuarios se han convertido en una extensión directa del sistema de seguridad del automóvil. Y, según Lazarus Technology, los ataques digitales a través de estas apps crecieron un 45% el último año en Europa.
La compañía advierte de que más del 60% de los incidentes detectados comenzaron por vías conocidas en otros ámbitos de la ciberseguridad: phishing, robo de credenciales, malware instalado en el teléfono o reutilización de contraseñas filtradas. La diferencia es que, en este caso, el objetivo no es solo una cuenta online, sino funciones físicas del vehículo: apertura, bloqueo, arranque, geolocalización o manipulación de configuraciones electrónicas.
El fenómeno encaja con una tendencia más amplia. Upstream Security señala que el ecosistema de automoción y movilidad inteligente sufrió en 2024 un fuerte aumento de amenazas, con ataques remotos y de gran escala afectando a fabricantes, servicios digitales, flotas e infraestructuras conectadas. En 2025, la compañía contabilizó 494 incidentes públicos en automoción y movilidad inteligente, con un crecimiento relevante del ransomware y una superficie de ataque ampliada por arquitecturas de IA, software y servicios conectados.
El riesgo no es teórico. Europol ha documentado operaciones contra redes especializadas en el robo de vehículos mediante tecnología keyless y herramientas electrónicas, como la operación de 2025 contra una red acusada de sustraer más de 100 coches híbridos de lujo en Bélgica, Italia y España. También existen antecedentes de vulnerabilidades en portales y servicios de fabricantes que permitían controlar funciones como desbloqueo, arranque o localización, como ocurrió con fallos investigados en vehículos conectados de Kia.
El problema de fondo es que el vehículo moderno se parece cada vez más a una plataforma digital. Tiene conectividad permanente, actualizaciones OTA, servicios en la nube, integración con el móvil, APIs, cuentas de usuario y datos de conducción. Esa evolución mejora la experiencia del conductor, pero también traslada al automóvil amenazas típicas del entorno digital: robo de identidad, toma de cuentas, fraude, espionaje, manipulación remota o extorsión.
La regulación europea ya ha empezado a responder. Las normas UNECE R155 y R156 obligan a los fabricantes a gestionar la ciberseguridad del vehículo y las actualizaciones de software durante su ciclo de vida, no solo en el momento de fabricación. INCIBE recuerda que la R155 se centra en la gestión de la ciberseguridad, mientras que la R156 regula la gestión de actualizaciones de software. Aun así, la protección del coche conectado no depende únicamente del fabricante: también intervienen proveedores cloud, aseguradoras, talleres, operadores de flotas, apps móviles y hábitos del usuario.
Ahí está el punto crítico. Si un conductor reutiliza contraseñas, instala aplicaciones de origen dudoso o cae en una campaña de phishing, el atacante puede llegar a la app del vehículo antes que al coche. Por eso Lazarus Technology sostiene que el cambio es estructural: el robo o la manipulación ya no empieza necesariamente en la calle, sino en el smartphone.
Para los usuarios, las medidas básicas son claras: activar autenticación multifactor siempre que exista, usar contraseñas únicas, mantener actualizado el sistema operativo del móvil, evitar apps no oficiales, desconfiar de SMS o correos que pidan iniciar sesión y revisar periódicamente qué dispositivos tienen acceso a la cuenta del vehículo. Para fabricantes y operadores, el reto pasa por reforzar la detección de accesos anómalos, limitar privilegios, monitorizar APIs, proteger el ciclo de actualización y asumir que el coche conectado forma parte de una cadena digital mucho más amplia.
La conclusión es incómoda pero necesaria: el automóvil ya no es solo un activo físico. Es una cuenta, una app, una nube, una identidad digital y un sistema electrónico móvil. Y cuando todo eso converge en el smartphone del conductor, la ciberseguridad del coche empieza mucho antes de girar la llave o pulsar el botón de arranque.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
