Alerta total por ciberseguridad en vehículos
Empezó hace unos siete años. Los principales científicos nucleares de Irán estaban siendo asesinados en una serie de ataques muy similares: agresores en motocicletas se acercaban a sus autos en movimiento, les colocaban bombas magnéticas y las hacían detonar después de que los motociclistas habían huido del lugar.
En otros siete años, advierten expertos en seguridad, los asesinos no necesitarán motocicletas o bombas magnéticas. Todo lo que necesitarán es una laptop y un código para hacer que vehículos sin conductor se precipiten en un puente, choquen con un camión sin conductor o se detengan inesperadamente en medio de un tráfico en rápido movimiento.
Los fabricantes de autos quizá les llamen vehículos de conducción autónoma. Pero los hackers les llaman computadoras que viajan a más de 160 kilómetros por hora.
“Ya no son autos”, dijo Marc Rogers, el investigador de seguridad principal en la firma de seguridad cibernética CloudFare. “Se trata de centros de datos sobre ruedas. Cualquier parte del auto que hable con el mundo exterior es una potencial puerta de entrada para los atacantes”.
Esos temores se hicieron patentes hace dos años cuando dos hackers de “sombrero blanco” ⎯investigadores que buscan vulnerabilidades cibernéticas para detectar problemas y arreglarlos, en vez de cometer un crimen o causar problemas⎯ obtuvieron acceso exitosamente a una Jeep Cherokee desde su computadora.
Volvieron impotente a su maniquí de prueba de choques (en este caso un nervioso reportero) sobre su vehículo y desactivaron la transmisión en medio de una autopista.
Los hackers, Chris Valasek y Charlie Miller (ahora investigadores de seguridad respectivamente en Uber y Didi, un competidor de Uber en China), descubrieron una ruta electrónica del sistema de entretenimiento del Jeep a su tablero. Desde ahí, tuvieron control del volante, los frenos y la transmisión del vehículo; todo lo que necesitaban para paralizar al conductor.
“El hackeo de autos produce titulares grandiosos, pero recuerden: a nadie le han hackeado su auto algún tipo malo”, escribió Miller en Twitter recientemente. “Solo lo han llevado a cabo investigadores”.
Sin embargo, la investigación de Miller y Valasek resultó en un alto precio para el fabricante de Jeep, Fiat Chrysler, el cual se vio forzado a llamar al taller 1.4 millones de sus vehículos como resultado del experimento de hackeo.
No sorprende que Mary Barra, directora ejecutiva de General Motors, llamara a la seguridad cibernética la prioridad máxima de su empresa el año pasado. Ahora las habilidades de los investigadores y los llamados hackers de sombrero blanco son muy demandadas entre los fabricantes de autos y las compañías tecnológicas que desarrollan proyectos de vehículos de conducción autónoma.
Uber, Tesla, Apple y Didi en China han estado reclutando activamente a hackers de sombrero blanco como Miller y Valasek robándoselos unos a otros, de las firmas de seguridad cibernética tradicionales e incluso de los círculos académicos.
El año pasado, Tesla se robó a Aaron Sigel, gerente de seguridad de Apple para su sistema operativo iOS. Uber se robó a Chris Gates, anterior hacker de sombrero blanco en Facebook. Didi se robó a Miller de Uber, donde había ido a trabajar después del hackeo del Jeep.
Y firmas de seguridad han visto a docenas de ingenieros dejar sus filas para dirigirse a proyectos de vehículos autónomos.
Miller dijo que dejó Uber por Didi, en parte, porque su nuevo empleador chino le ha dado más libertad para discutir su trabajo.
“Los fabricantes de autos parecen estar tomando más en serio la amenaza de un ataque cibernético, pero a mí me gustaría ver más transparencia de parte de ellos”, escribió Miller en Twitter.
Como varias grandes compañías tecnológicas, Tesla y Fiat Chrysler empezaron a pagar recompensas a hackers que revelaran fallas que los hackers descubran en sus sistemas. GM ha hecho algo similar, aunque sus críticos dicen que el programa de GM es limitado en comparación con los ofrecidos por las compañías tecnológicas, y hasta ahora no se han pagado recompensas.
Un año después del hackeo al Jeep, Miller y Valasek demostraron todas las otras formas en que podían molestar a un conductor de Jeep, incluyendo el hackeo del control de crucero del vehículo, hacer girar el volante 180 grados o poner el freno de mano en medio de un tráfico de alta velocidad; todo desde una computadora en la parte posterior del vehículo. (Esas hazañas terminaron con su Jeep de prueba en una zanja y una llamada a una compañía de grúas local.)
Cierto, tenían que estar en el Jeep para hacer que todo eso sucediera. Pero fue una evidencia de lo que es posible.
La penetración del sistema del Jeep fue precedida por un hackeo en 2011 por parte de investigadores de seguridad de la Universidad de Washington y la Universidad de California en San Diego, quienes fueron los primeros en hackear de manera remota un sedán y finalmente controlar sus frenos vía Bluetooth.
Vehículos autónomos, ¿en peligro?
Los investigadores advirtieron a las compañías automovilísticas que entre más se conectaran los autos, se volvía más probable que fueran hackeados.
Investigadores de seguridad también lograron penetrar en un auto Modelo S cargado de software de Tesla. En 2015, Rogers y Kevin Mahaffey, director de tecnología de la compañía de seguridad cibernética Lookout, encontraron una forma de controlar varias funciones de Tesla desde su laptop físicamente conectada.
Un año después, un equipo de investigadores chinos en Tencent llevó su investigación un paso adelante, hackeando un Tesla Modelo S en movimiento y controlando sus frenos desde casi 20 kilómetros de distancia. A diferencia de Chrysler, Tesla pudo enviar un parche remoto para corregir los huecos de seguridad que hacían posibles los hackeos.
En todos los casos, los hackeos a vehículos fueron obra de investigadores de seguridad de sombrero blanco bienintencionados. Pero la lección para todos los fabricantes de autos fue clara.
Las motivaciones para hackear automóviles son ilimitadas. Cuando se enteró de la investigación de Rogers y Mahaffey en el Modelo S de Tesla, un creador de aplicaciones móviles chino preguntó a Rogers si estaría interesado en compartir, o posiblemente vender, su descubrimiento, reveló. (El creador de aplicaciones estaba buscando una puerta trasera para instalar secretamente su aplicación móvil en el tablero de Tesla.)
Los criminales no han demostrado aún que hayan encontrado puertas traseras en los vehículos conectados, aunque durante años han estado desarrollando, comerciando y desplegando activamente herramientas que pueden interceptar las comunicaciones clave de los vehículos.
Pero a medida que más autos sin conductor y semiautónomos lleguen a las calles, se volverán un blanco más digno de atención. Expertos en seguridad advierten que los vehículos de conducción autónoma presentan una “superficie de ataque” mucho más compleja, intrigante y vulnerable para los hackers. Cada nueva función en un auto conectado introduce mayor complejidad, y con la complejidad inevitablemente viene la vulnerabilidad.
Hace 20 años, los autos tenían, en promedio, un millón de líneas de código. El Chevrolet Volt 2010 de General Motors tenía unos 10 millones de líneas de código; más que un jet de combate F-35.
Hoy, un auto promedio tiene más de 100 millones de líneas de código. Los fabricantes de autos predicen que no pasará mucho tiempo antes de que tengan 200 millones. Cuando uno se detiene a considerar que, en promedio, hay entre 15 y 50 defectos por cada mil líneas de código de software, las debilidades potencialmente aprovechables aumentan rápidamente.
La única diferencia entre el código de una computadora y el código de un vehículo de conducción autónoma es que, “a diferencia de la seguridad de una empresa de centro de datos ⎯ donde la mayor amenaza es la pérdida de datos ⎯, en la seguridad automovilística, es la pérdida de vidas”, dijo David Barzilai, cofundador de Karamba Security, una empresa emergente israelí que está trabajando en abordar la seguridad automovilística.
Para verdaderamente hacer seguros a los vehículos autónomos, dicen los expertos en seguridad, los fabricantes de autos tendrán que abordar las vulnerabilidades inevitables que surjan en los nuevos sensores y computadoras de los autos, abordar las vulnerabilidades inherentes en el propio auto y, quizá lo más desafiante, zanjar la división entre los fabricantes de autos y las compañías de software.
“El genio salió de la botella, y solucionar este problema requerirá un importante cambio cultural”, dijo Mahaffey de la compañía de seguridad cibernética Lookout. “Y un fabricante de autos que verdaderamente valore la seguridad cibernética tratará las vulnerabilidades de seguridad de la misma manera que lo haría con un llamado al taller por una bolsa de aire. No hemos visto ese cambio en toda la industria todavía”.
Habrá ganadores y perdedores, añadió Mahaffey: “Los fabricantes de autos que se transformen en compañías de software ganarán. Los otros se quedarán atrás”.
(Con información de The New York Times vía El Financiero)