Ciberseguridad: Ya no son autos, son centros de datos sobre ruedas

Empezó hace unos siete años. Los principales científicos nucleares de Irán estaban siendo asesinados en una serie de ataques muy similares: agresores en motocicletas se acercaban a sus autos en movimiento, les colocaban bombas magnéticas y las hacían detonar después de que los motociclistas habían huido del lugar.

En otros siete años, advierten expertos en seguridad, los asesinos no necesitarán motocicletas o bombas magnéticas. Todo lo que necesitarán es una laptop y un código para hacer que vehículos sin conductor se precipiten en un puente, choquen con un camión sin conductor o se detengan inesperadamente en medio de un tráfico en rápido movimiento.

Los fabricantes de autos quizá les llamen vehículos de conducción autónoma. Pero los hackers les llaman computadoras que viajan a más de 160 kilómetros por hora.

“Ya no son autos”, dijo Marc Rogers, el investigador de seguridad principal en la firma de seguridad cibernética CloudFare. “Se trata de centros de datos sobre ruedas. Cualquier parte del auto que hable con el mundo exterior es una potencial puerta de entrada para los atacantes”.

Esos temores se hicieron patentes hace dos años cuando dos hackers de “sombrero blanco” ⎯investigadores que buscan vulnerabilidades cibernéticas para detectar problemas y arreglarlos, en vez de cometer un crimen o causar problemas⎯ obtuvieron acceso exitosamente a una Jeep Cherokee desde su computadora.

Volvieron impotente a su maniquí de prueba de choques (en este caso un nervioso reportero) sobre su vehículo y desactivaron la transmisión en medio de una autopista.

Los hackers, Chris Valasek y Charlie Miller (ahora investigadores de seguridad respectivamente en Uber y Didi, un competidor de Uber en China), descubrieron una ruta electrónica del sistema de entretenimiento del Jeep a su tablero. Desde ahí, tuvieron control del volante, los frenos y la transmisión del vehículo; todo lo que necesitaban para paralizar al conductor.

“El hackeo de autos produce titulares grandiosos, pero recuerden: a nadie le han hackeado su auto algún tipo malo”, escribió Miller en Twitter recientemente. “Solo lo han llevado a cabo investigadores”.

Sin embargo, la investigación de Miller y Valasek resultó en un alto precio para el fabricante de Jeep, Fiat Chrysler, el cual se vio forzado a llamar al taller 1.4 millones de sus vehículos como resultado del experimento de hackeo.

No sorprende que Mary Barra, directora ejecutiva de General Motors, llamara a la seguridad cibernética la prioridad máxima de su empresa el año pasado. Ahora las habilidades de los investigadores y los llamados hackers de sombrero blanco son muy demandadas entre los fabricantes de autos y las compañías tecnológicas que desarrollan proyectos de vehículos de conducción autónoma.

Uber, Tesla, Apple y Didi en China han estado reclutando activamente a hackers de sombrero blanco como Miller y Valasek robándoselos unos a otros, de las firmas de seguridad cibernética tradicionales e incluso de los círculos académicos.

El año pasado, Tesla se robó a Aaron Sigel, gerente de seguridad de Apple para su sistema operativo iOS. Uber se robó a Chris Gates, anterior hacker de sombrero blanco en Facebook. Didi se robó a Miller de Uber, donde había ido a trabajar después del hackeo del Jeep.

Y firmas de seguridad han visto a docenas de ingenieros dejar sus filas para dirigirse a proyectos de vehículos autónomos.

Miller dijo que dejó Uber por Didi, en parte, porque su nuevo empleador chino le ha dado más libertad para discutir su trabajo.

“Los fabricantes de autos parecen estar tomando más en serio la amenaza de un ataque cibernético, pero a mí me gustaría ver más transparencia de parte de ellos”, escribió Miller en Twitter.

Como varias grandes compañías tecnológicas, Tesla y Fiat Chrysler empezaron a pagar recompensas a hackers que revelaran fallas que los hackers descubran en sus sistemas. GM ha hecho algo similar, aunque sus críticos dicen que el programa de GM es limitado en comparación con los ofrecidos por las compañías tecnológicas, y hasta ahora no se han pagado recompensas.

Un año después del hackeo al Jeep, Miller y Valasek demostraron todas las otras formas en que podían molestar a un conductor de Jeep, incluyendo el hackeo del control de crucero del vehículo, hacer girar el volante 180 grados o poner el freno de mano en medio de un tráfico de alta velocidad; todo desde una computadora en la parte posterior del vehículo. (Esas hazañas terminaron con su Jeep de prueba en una zanja y una llamada a una compañía de grúas local.)

Cierto, tenían que estar en el Jeep para hacer que todo eso sucediera. Pero fue una evidencia de lo que es posible.

La penetración del sistema del Jeep fue precedida por un hackeo en 2011 por parte de investigadores de seguridad de la Universidad de Washington y la Universidad de California en San Diego, quienes fueron los primeros en hackear de manera remota un sedán y finalmente controlar sus frenos vía Bluetooth.