Automotrices quieren remediarlo
Nueva York— Los expertos de seguridad advierten que estamos cerca de un futuro en el cual para asesinar a alguien sólo será necesaria una laptop y un código para ordenarle al vehículo en el que esa persona viaja que caiga de un puente, choque con un camión sin conductor o que se detenga de manera inesperada en medio del tránsito.
Puede que los fabricantes de autos los llamen vehículos autónomos; pero los hackers les dicen computadoras que viajan a más de 160 kilómetros por hora.
“Estos ya no son automóviles”, dijo Marc Rogers, principal investigador de la firma de seguridad cibernética CloudFlare. “Son centros de datos sobre ruedas. Cualquier parte del auto que se conecte con el mundo exterior es un posible punto de entrada para los atacantes”, sostiene.
Esos temores se manifestaron hace dos años, cuando dos hackers de “sombrero blanco” –investigadores que buscan vulnerabilidades informáticas para detectar problemas y corregirlos, en lugar de cometer un crimen o causar problemas– lograron tener acceso a una Jeep Cherokee a kilómetros de distancia a través de una computadora. Hicieron que su maniquí de pruebas –en este caso un reportero nervioso que grababa lo sucedido– no tuviera control sobre su vehículo e inhabilitaron la transmisión del reportero en medio de una carretera.
Los hackers, Chris Valasek y Charlie Miller (que ahora son, respectivamente, investigadores de seguridad en Uber y Didi, una empresa rival de Uber en China), descubrieron una ruta electrónica desde el sistema de entretenimiento de la Cherokee hasta su tablero. Desde ahí, tomaron
Hoy en día, es posible controlar a distancia un vehículo; cualquier parte que se conecte con el mundo exterior es un posible punto de entrada para los atacantes, revelan investigadores
control del volante, los frenos y la transmisión… todo lo que necesitaban para paralizar al auto en medio de la carretera. El fabricante de Jeep, Fiat Chrysler, se vio obligado a retirar 1.4 millones de vehículos como resultado del experimento.
Miller destacó en Twitter que la situación, hasta ahora, no va más allá de titulares y que sólo los investigadores y no criminales han logrado llevar a cabo un ciberataque contra un automóvil.
Aun así, no es de sorprenderse que Mary Barra, la directora ejecutiva de General Motors, dijera el año pasado que la ciberseguridad es la principal prioridad de su empresa. Ahora las habilidades de investigadores como Miller y Valasek tienen una alta demanda entre los fabricantes de autos y las empresas de tecnología que impulsan los proyectos de vehículos autónomos.
Uber, Tesla, Apple y Didi han reclutado de forma activa a hackers y buscan contratar a profesionales de ese perfil que trabajen en firmas de ciberseguridad y sectores académicos.
El año pasado, Tesla contrató a Aaron Sigel, el gestor de seguridad de Apple para su sistema operativo iOS. Uber contrató a Chris Gates, quien fue un hacker de sombrero blanco para Facebook. Didi sacó a Miller de Uber, donde había estado trabajando después del ataque cibernético a la Cherokee. Y las firmas de seguridad han perdido a decenas de ingenieros que se van para trabajar en proyectos de vehículos autónomos.
Un año después de que Miller y Valasek lograran controlar a distancia la Jeep Cherokee, demostraron otras maneras en que podían interferir con un conductor de ese vehículo, incluyendo el secuestro del sistema de piloto automático, girar el volante 180 grados o hacer que frene como si estuviera en el modo de estacionado mientras el auto estaba transitando a alta velocidad… todo desde una computadora en la parte trasera del coche (esas hazañas terminaron cuando su Jeep de prueba acabó en una zanja y tuvieron que llamar a una compañía local de remolques).
Es cierto, tuvieron que acceder al vehículo para hacer que eso pasara. Pero fue evidencia de lo que es posible.
La experiencia con la Jeep fue precedida por un hackeo realizado en 2011 por los expertos de seguridad de la Universidad de Washington y la Universidad de California en San Diego, quienes fueron los primeros en tomar control de un sedán y terminaron por controlar sus frenos a través del Bluetooth. Los investigadores advirtieron a las compañías de automóviles que cuanto más interconectados estén los autos, mayores son las probabilidades de que sean atacados.
Los investigadores también han podido acceder al auto Model S de Tesla que, en gran medida, depende de software. En 2015, Rogers, junto con Kevin Mahaffey, director general de tecnología de la empresa de ciberseguridad Lookout, encontró una manera de controlar diversas funciones del Tesla desde su computadora portátil, que estaba conectada físicamente al vehículo.
Un año más tarde, un equipo de investigadores chinos en Tencent llevó su investigación más allá, pues hackearon un Tesla Model S en movimiento y controlaron sus frenos a 19 kilómetros de distancia. A diferencia de Chrysler, Tesla pudo aplicar un parche remoto para arreglar las fallas de seguridad que permitieron los ataques informáticos.
En todos los casos, los ataques al auto fueron el trabajo de investigadores de seguridad que tuvieron buenas intenciones. Pero la lección para todos los fabricantes de autos fue clara.
Los criminales aún no han encontrado atajos para acceder a vehículos conectados aunque, durante años y de forma activa, han estado desarrollando, intercambiando y desplegando herramientas que pueden interceptar comunicaciones clave de los vehículos.
Pero conforme más vehículos autónomos y semiautónomos lleguen a las carreteras, se convertirán en objetivos más valiosos. Los expertos en seguridad advierten que los vehículos autónomos presentan una “superficie de ataque” mucho más compleja, fascinante y vulnerable para los hackers. Cada nueva característica “conectada” del auto presenta una mayor complejidad y con ésta llega la vulnerabilidad.
Hace 20 años, los automóviles tenían, en promedio, un millón de líneas de código. Para 2010, cuando salió el General Motors Chevrolet Volt, este tenía cerca de diez millones de líneas de código… más que un avión de combate F-35.
Actualmente, un auto promedio tiene más de 100 millones de líneas de código. Los fabricantes de automóviles predicen que no pasará mucho tiempo antes de que tengan 200 millones. Cuando te detienes a pensar que, en promedio, hay de 15 a 50 fallas por cada 1000 líneas de código de software, las debilidades potencialmente explotables se incrementan rápidamente.
La única diferencia entre el código de computadora y el de un vehículo autónomo es que “a diferencia de la seguridad empresarial de centros de datos”, donde la mayor amenaza es la pérdida de datos, “en la seguridad automotriz, es la pérdida de vidas”, dijo David Barzilai, cofundador de Karamba Security, una empresa israelí que trabaja en la seguridad automotriz.
Según los expertos, para verdaderamente asegurar los vehículos autónomos, los fabricantes de automóviles tendrán que enfrentar las vulnerabilidades inevitables que surgen en los nuevos sensores y las computadoras de los autos, abordar las fallas inherentes en el auto base y, quizá lo más desafiante, acabar con la brecha cultural que existe entre los fabricantes de autos y las empresas de software.
“Para resolver este problema se necesitará un cambio cultural importante”, dijo Mahaffey, de la empresa de ciberseguridad Lookout. “Si un fabricante de automóviles verdaderamente valora la ciberseguridad tratará las vulnerabilidades de seguridad de la misma manera que un defecto en las bolsas de aire. Aún no hemos visto ese cambio en toda la industria”, dice.
Habrá ganadores y perdedores, agregó Mahaffey: “Los fabricantes de automóviles que se transformen en compañías de software ganarán. Los demás se quedarán atrás”.