El coche ya no es una máquina mecánica. Tiene entre 50 y 150 módulos de control electrónico, varios sistemas operativos y puede recibir actualizaciones de software de forma remota. Eso lo convierte en uno de los endpoints más complejos y menos vigilados del ecosistema digital.
El 95% de los líderes de la industria automotriz identifica la ciberseguridad como prioridad estratégica, según un estudio de ABB Robotics. Más de la mitad la califica como “extremadamente importante”. Los datos no sorprenden. Lo que sí sorprende es cuánto tardó el sector en llegar a esta conclusión.
¿Qué cambió en la última década?
La digitalización acelerada de las plantas de fabricación —IA, gemelos digitales, robótica avanzada— multiplicó los vectores de ataque. Cada nodo nuevo es una puerta potencial. Desde la ECU (unidad de control electrónico) del motor hasta el sistema de navegación conectado, pasando por los sensores de asistencia a la conducción y las apps móviles que sincronizan con el vehículo: el perímetro de ataque es hoy mucho más grande que el perímetro físico del automóvil.
Aprende IA con nosotros
Únete gratis a mi comunidad en Skool, donde compartimos noticias, tutoriales y recursos para seguir aprendiendo juntos.
👥 Únete gratis 🚀En 2025 se reportaron incidentes que comprometieron flotas enteras mediante vulnerabilidades en las APIs de fabricantes. El patrón se repite: el atacante no entra por el motor, entra por el software. Y en un vehículo con conducción asistida o autónoma, esa brecha puede tener consecuencias físicas.
El marco regulatorio que cambió las reglas del juego
Aquí es donde la industria automotriz tiene algo que enseñarle al resto del ecosistema tech.
La normativa UNECE WP.29, vigente en Europa desde 2022, obliga a los fabricantes a implementar un sistema de gestión de ciberseguridad (CSMS) verificable y auditado a lo largo de todo el ciclo de vida del vehículo. No basta con declarar que el sistema es seguro: hay que demostrarlo ante el regulador antes de comercializar el vehículo, y mantener esa certificación mientras opera en carretera.
La norma ISO/SAE 21434, complementaria a WP.29, establece el marco técnico: análisis de amenazas y riesgos (TARA), diseño seguro por defecto, monitoreo continuo y respuesta a incidentes. Es el equivalente del ciclo de desarrollo seguro de Microsoft, pero aplicado a hardware que circula a 120 km/h.
Esto es inusual en el mundo startup. Muchas empresas tech lanzan software y lo parchean según aparecen vulnerabilidades. En automoción, ese modelo es inaceptable cuando el software controla frenado autónomo o dirección asistida. El sector está aprendiendo lo que la aviación y la medicina ya sabían: hay dominios donde el “move fast and break things” rompe personas, no solo productos.
El problema real: la cadena de suministro
Lo que el 95% de líderes que declara priorizar la ciberseguridad no siempre resuelve: el vehículo moderno es el resultado de cientos de proveedores. Una ECU puede incorporar software de tres empresas, firmware de otra y componentes de hardware de cinco más.
Cada eslabón es una superficie de ataque. Los grandes fabricantes (OEMs) pueden tener controles robustos mientras sus proveedores de nivel dos o tres operan con prácticas de seguridad básicas. El ataque no llega por la puerta principal: llega por el proveedor del sistema de climatización o del módulo de conectividad.
Este patrón es idéntico al que vemos en el software empresarial —el código generado por IA heredando vulnerabilidades de sus dependencias— con una diferencia crítica: cuando un proveedor SaaS tiene una brecha, pierdes datos. Cuando un proveedor automotriz tiene una brecha, puede comprometerse el control físico de un vehículo en movimiento.
¿Qué necesitan fabricantes, reguladores y usuarios?
La tesis que está emergiendo en el sector es que la ciberseguridad automotriz requiere colaboración en al menos tres capas simultáneas.
Primera capa: fabricantes y su cadena de suministro. Estándares verificables desde el diseño, no como checklist final. ABB Robotics lleva décadas integrando la seguridad en su cultura de ingeniería porque sus robots operan en entornos críticos. Sus clientes exigen auditorías como condición del contrato.
Segunda capa: reguladores. WP.29 es un modelo a seguir precisamente porque no solo castiga fallos, sino que exige certificación proactiva. El regulador como habilitador, no solo como sancionador.
Tercera capa: usuarios. Es la más ignorada. Quien conecta su iPhone al coche para usar CarPlay no es consciente de qué datos se transfieren ni de que esa interfaz puede convertirse en un vector de ataque si el sistema no gestiona bien los permisos. La educación del usuario no es marketing: es parte del modelo de seguridad.
Como señalan los datos más recientes sobre ciberseguridad empresarial, el 77% de las organizaciones ya usa IA en sus defensas pero solo el 37% tiene gobernanza sobre esas herramientas. El gap entre adoptar y gobernar es el riesgo real —y la automoción no es excepción.
Por qué importa más allá de los coches
El caso automotriz es el laboratorio adelantado de lo que viene para cualquier industria que conecte hardware físico con software gestionado remotamente. Robots industriales, dispositivos médicos, infraestructura de transporte urbano: todos enfrentan la misma tensión entre apertura digital y consecuencias físicas de un fallo.
La lección que la industria automotriz tardó una década en aprender —y que el 95% de sus líderes ya internalizó— es que la ciberseguridad no es una capa que se añade al final. Es una decisión de arquitectura que se toma al principio. Para cualquier startup que construya software sobre hardware físico, ese es el aprendizaje que vale más que cualquier certificación.
En LATAM, donde la adopción de IA ofensiva y ransomware se cuadruplicó en 2025, el tiempo de reacción del sector automotriz local será determinante. El coche conectado ya llegó. La pregunta es si la seguridad llegó con él.
