Los vehículos modernos se convierten en un chollo para los delincuentes, y va a más
Los Mossos d'Esquadra y la Agencia de Ciberseguridad de Catalunya lanzan una alerta conjunta: el coche moderno ya no solo puede ser robado con una llave. Puede ser hackeado. Y los números lo confirman: los ciberataques al sector de la automoción crecieron un 39 % en 2024 y siguen acelerando.
Tu coche sabe más de ti de lo que crees. Conoce a qué hora sales de casa, qué rutas repites cada semana, dónde aparcas habitualmente y cuánto tiempo llevas fuera. Toda esa información se procesa y se almacena. Y si cae en manos equivocadas, el problema puede ser considerable.
Los Mossos d'Esquadra han lanzado una alerta dirigida a los conductores de vehículos modernos, con especial énfasis en los conectados. «Pueden tener riesgos de ciberseguridad", advierten desde la policía catalana. La Agencia de Ciberseguridad de Catalunya reitera el mensaje: un vehículo conectado es, a todos los efectos, un dispositivo electrónico con acceso a internet. Y como tal, es vulnerable.
Un sector bajo asedio cibernético
Los datos no dejan margen para el optimismo. Según el informe anual de Upstream Security, la referencia del sector respaldada por fabricantes como BMW, Hyundai o Volvo, los incidentes de ciberseguridad en automoción aumentaron de 295 en 2023 a 409 en 2024. Esto supone un incremento del 39 %.
Desde 2010, la base de datos acumula ya 1.877 casos documentados. Pero lo más significativo no es el volumen, sino la escala: el 60 % de esos ataques afectaron simultáneamente a miles o incluso millones de vehículos. Los incidentes masivos, aquellos que impactan a millones de activos de una sola vez, se triplicaron, pasando del 5 % al 19 % del total.
Y lo cierto es que la amenaza es cada vez más sofisticada. El 92 % de los ataques registrados en 2024 se ejecutaron de forma completamente remota, sin que el delincuente necesitara estar cerca del vehículo. El 65 % fue con motivaciones económicas claras. Ya no se trata solo de aficionados con herramientas baratas: detrás de muchos de estos ataques hay organizaciones estructuradas que operan en la dark web y apuntan a sistemas de telemática, aplicaciones móviles e infraestructuras de carga.
Lamentablemente, el año 2025 no ha traído mejora alguna. El informe de Upstream publicado en febrero de este año eleva a 494 los incidentes documentados y señala que los ataques de ransomware representaron ya el 44 % del total, más del doble que en 2024.
Lo que le pasó a KIA puede pasarle a cualquiera
En 2024, una brecha en el portal de clientes de KIA expuso algo más que datos personales. Los atacantes, aprovechando una autenticación API deficiente, lograron acceder de forma indirecta a las unidades de control electrónico telemáticas de los vehículos conectados de la marca, con capacidad para enviar comandos no autorizados, incluyendo la posibilidad de desactivar alarmas o el geofencing.
KIA tuvo que aislar de urgencia los canales de comunicación críticos. No fue un caso aislado: ese mismo año, investigadores de ciberseguridad demostraron que una simple matrícula podía ser suficiente para, explotando APIs mal protegidas, desbloquear puertas, arrancar motores y modificar registros de titularidad de vehículos en cuestión de segundos.
El caso más preocupante del año, sin embargo, no afectó directamente a los coches, sino a quienes los venden. Un ataque de ransomware contra un proveedor de software utilizado por 15.000 concesionarios en Estados Unidos paralizó operaciones durante casi tres semanas y generó pérdidas estimadas en más de 1.000 millones de dólares. Una sola intrusión. Un efecto en cadena que sacudió a toda la industria. El caso de Land Rover también tuvo un impacto notable.
El contexto español
Mientras esto ocurre, en España se denunciaron más de 33.000 sustracciones de vehículos en 2025 según el Balance de Criminalidad del Ministerio del Interior, unos 90 robos diarios. No todos se cometen mediante métodos tecnológicos, pero los sistemas electrónicos y las llaves inteligentes se han convertido en un objetivo creciente.
Por su parte, Lazarus Technology sitúa en más de 15 millones los turismos en España con algún sistema de conectividad potencialmente vulnerable, un dato de gran impacto que sirve para contextualizar la exposición del parque móvil español.
Los siete consejos que deberías aplicar hoy
Las autoridades catalanas han sintetizado sus recomendaciones en siete puntos. El primero y más básico: contraseñas robustas y únicas para la cuenta vinculada al vehículo, con doble autenticación activada siempre que sea posible. El segundo apunta a la configuración de privacidad: limitar el acceso de aplicaciones a lo estrictamente necesario y descargar solo desde fuentes oficiales.
Por otro lado, conviene revisar periódicamente qué dispositivos están emparejados con el coche y eliminar cualquiera que no se reconozca. Si el vehículo lo usan varias personas, lo recomendable es crear perfiles individuales. El Bluetooth y otras conexiones inalámbricas deberían desactivarse cuando no se usen, y nunca deben realizarse actualizaciones del sistema de a bordo desde redes públicas.
Mantener el software al día es el quinto consejo y no es trivial en absoluto: las actualizaciones no son solo mejoras de rendimiento, son parches de seguridad. Además, borrar periódicamente el historial de datos y ubicaciones guardados en el propio vehículo es también aconsejable.
El sexto punto advierte sobre el comportamiento anómalo: si alguna función se activa sola o el sistema responde de forma extraña, hay que consultar con un profesional. Y antes de vender el coche, es imprescindible restaurar los ajustes de fábrica y eliminar todos los datos personales almacenados.
El punto de carga, el talón de Aquiles del eléctrico
Más allá de los riesgos generales, las autoridades dedican atención específica a los vehículos eléctricos. El punto de carga, tanto público como doméstico, representa una vulnerabilidad adicional que el informe de Upstream Security confirma: los cargadores y los sistemas de gestión de flotas han ampliado significativamente la superficie de ataque en los últimos años. La recomendación es usar cargadores oficiales y, en casa, separar la red del punto de carga del resto de dispositivos del hogar.
A este respecto, la normativa europea ha intentado poner orden. Desde julio de 2024, el reglamento UNECE R155 obliga a que todos los vehículos nuevos vendidos en Europa cumplan unos estándares mínimos de ciberseguridad, capaces de identificar y mitigar al menos 70 tipos de amenazas informáticas. Es un paso en la dirección correcta. Pero Upstream Security advierte que los atacantes ya operan muy por delante de lo que cualquier marco regulatorio puede anticipar.
En ese contexto, la carga de la prevención sigue recayendo sobre el conductor. Y la pregunta que queda en el aire es incómoda: ¿cuántos propietarios de un coche conectado saben realmente todo lo que su vehículo sabe de ellos? ¿Y quién más podría saberlo?