Imagina que conduces a 112 kilómetros por hora, orgulloso de la estabilidad y seguridad de tu flamante Jeep Cherokee. De repente, empiezas a notar que el aire acondicionado se activa por arte de magia. La música empieza a sonar cada vez más alta, los limpiaparabrisas cumplen con su cometido sin que tú se lo hayas ordenado y entras en pánico cuando el motor se apaga por sí solo.
Esto es lo que le ha ocurrido a Andy Greenberg, periodista de Wired. Para su fortuna, dos expertos en seguridad informática, Charlie Miller y Chris Valasek, ya le habían avisado de que en ese trayecto podía suceder de todo.
A 15 kilómetros de distancia, estos dos investigadores lograron tomar el control del vehículo aprovechándose de una vulnerabilidad del sistema de navegación y entretenimiento Uconnect. Chrysler decidió en un primer momento tapar el agujero con un parche que el cliente tenía que descargarse, pero finalmente ha optado por revisar 1,4 millones de vehículos.
La Internet de las Cosas ha llegado pisando fuerte a la industria de la automoción. Según un informe de Gartner, más de 150 millones de coches estarán conectados en el año 2020. Sin embargo, la seguridad de sus sistemas sigue siendo una asignatura pendiente.
No es la primera vez que estos dos investigadores aconsejan a los fabricantes ponerse las pilas. Llevan tres años estudiando cómo se pueden hackear los vehículos inteligentes y han logrado trasladar la preocupación a los legisladores.
Los senadores de Estados Unidos Ed Markey y Richard Blumenthal pretenden que una ley establezca una serie de normas de protección para garantizar la seguridad y privacidad de la información de estos vehículos. El propio Markey encargó la realización de un informe que concluye que, con esta tecnología, se abren nuevas vulnerabilidades de las que podrían aprovecharse los ciberdelincuentes. El estudio también asegura que la mayoría de fabricantes de automóviles encuestados no eran conscientes de los potenciales agujeros de seguridad de sus vehículos.
Miller y Valasek no son los únicos que están estudiando los fallos de los coches conectados. El experto en seguridad Samy Kamkar va a presentar dentro unos días en la conferencia de seguridad DefCon los detalles de un nuevo ataque contra el sistema OnStar de los coches inteligentes de General Motors, que permite localizar el vehículo, desbloquearlo e incluso arrancar el motor desde una app del teléfono móvil, Remote Link.
Kamkar ha demostrado que con un barato artefacto casero (solo le ha costado 100 dólares, unos 91 euros), puede interceptar la información que se envía al smartphone para localizarlo, desbloquearlo y encender el motor.
Hace unos meses supimos que incluso un adolescente de 14 años era capaz de hackear un coche inteligente para activar de forma inalámbrica el limpiaparabrisas, el sistema de cierre o las luces con un circuito casero.
“La seguridad en los coches es prácticamente inexistente, se encuentra en el mismo nivel de protección que el ordenador de sobremesa que teníamos en los 80. Los requisitos básicos de autenticación, confidencialidad e integridad no son fuertes”, ha advertido Andry Rakotonirainy, investigador del Centro de Investigación de Accidentes y Seguridad en Carreteras de la Universidad Tecnológica de Queensland. A juicio de este experto, a la vez que avanza la tecnología para que nuestro coche esté conectado y sea autónomo, aumenta también la amenaza de un ciberataque.
Según las previsiones de Gartner, dentro de un lustro podríamos conducir un coche inteligente, mientras Google defiende que en esa misma fecha nos sentaremos directamente en el asiento del copiloto, ya que espera comenzar a vender sus famosos coches autónomos ese año. El FBI advertía ya en un informe interno del peligro que supone que los ciberdelincuentes puedan modificar los dispositivos de seguridad de los coches autónomos para ignorar semáforos y límites de velocidad o para programar vehículos cargados de explosivos.
Pese a las ventajas de que nuestro coche conectado a Internet nos permita publicar en redes sociales o encender la radio online, su conexión inalámbrica ha abierto un nuevo abanico de vulnerabilidades. Más vale que los fabricantes de coches comiencen a tener en cuenta la seguridad desde el diseño de los actuales coches inteligentes y de los futuros coches autónomos para evitar que ningún ciberdelincuente pueda localizar nuestro vehículo y, en el mejor de los casos, reírse de nosotros poniendo a funcionar el limpiaparabrisas.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
