miércoles, 19 de agosto de 2015

El hackeo de los frenos de un Jeep aumenta los esfuerzos por la ciberseguridad de los coches

Cada vez más marcas son vulneradas a causa de su mayor conectividad que supone cada vez más vías de entrada a los atacantes
WILL KNIGHT - TRADUCIDO POR TERESA WOODS

Puede que tu próximo coche disponga de una gran calificación de seguridad o puntuación de fiabilidad, pero ¿será hackeable?

Los investigadores de seguridad han demostrado recientemente varios trucos para hackear los coches y tomar el control de componentes como el equipo de música y los limpiaparabrisas, o incluso el motor y los frenos. En un ejemplo, un par de expertos desactivaron en remoto el sistema de frenado de un Jeep Cherokee mientras que un periodista lo conducía.

Como no es de extrañar, los fabricantes de coches han empezado a tomarse la seguridad informática mucho más en serio, pero han sido víctimas de los galopantes avances de la tecnología de esta industria, y en especial de cómo el aumento de conectividad ha expuesto a los coches a los ataques. Al mismo tiempo, están añadiendo rápidamente nuevas prestaciones que requerirán un mayor escrutinio desde la perspectiva de la seguridad vial.

El fabricante de coches eléctricos Tesla va por delante de la media del sector, con un coche que es a la vez altamente informatizado y conectado, y relativamente bien protegido contra los ataques informáticos. A diferencia de la mayoría de los coches que circulan actualmente, el último modelo S dispone de un sistema informático incorporado que separa los distintos sistemas, dificultando así que los hackers salten de un sistema a otro. Los expertos que atacaron el Jeep, por ejemplo, utilizaron el sistema de entretenimiento como punto de acceso a otros componentes del vehículo. Otros fabricantes están desarrollando sistemas parecidos, según Joshua Corman, un investigador independiente que realiza trabajos de consultoría para empresas automovilísticas. "Realmente no existe ninguna razón para que la radio interactúe con el sistema de frenado", explica.

Los fabricantes de automóviles también están revisando su enfoque para hacer frente a los fallos de seguridad y los errores informáticos, lo que significa que invitarán a los investigadores de seguridad a que alerten de los problemas que descubran y trabajarán con ellos de forma conjunta para arreglarlos (en lugar de amenazar con demandarlos, como ha sucedido en el pasado). Tesla ha ofrecido recompensas en efectivo para aquellos que revelen este tipo de problemas. Varios expertos de la industria creen que pronto otros fabricantes podrían seguir su ejemplo. Corman dice que dos fabricantes tenían la intención de anunciar medidas similares en Defcon, una importante conferencia de seguridad informática en Las Vegas (EEUU), pero fueron disuadidos por la prensa negativa atraídos por el ataque al Jeep.

Otros fabricantes están ideando formas de realizar actualizaciones del software de sus coches de forma remota para poder abordar los problemas con mayor rapidez. Hasta ahora sólo Tesla y BMW son capaces de ello, pero Ford anunció recientemente que introducirá esta funcionalidad en sus vehículos, aunque no especificó cuándo.

Pero muchos expertos afirman que los fabricantes tienen que hacer mucho más. Corman también aboga, entre otras cosas, por la incorporación de una "caja negra" al sistema informático de los coches para que los ciberataques puedan grabarse para su revisión posterior. Tal dispositivo, o algo similar, podría emplearse también para detectar y detener un ataque en curso.

Los académicos llevan años hackeando los coches (ver Tomando el control de los coches de forma remota). Pero la introducción de la conectividad móvil ha facilitado la vulneración de los vehículos. Craig Smith, un investigador de seguridad que realiza pruebas de seguridad para muchos fabricantes, dice que ha realizado proezas similares al ataque al Jeep. "Cuando se trata de descubrir una hazaña, sólo tienes que aprender un par de cosas nuevas", dice.

La mayoría de los fabricantes de coches permiten que los smartphones se conecten con el sistema de a bordo mediante CarPlay de Apple y Android Auto de Google (ver ¿Quién conducirá el coche del futuro?). Incluso si un coche carece de su propia conexión de datos, estos sistemas permitirán al conductor visualizar apps, mapas y mensajes desde la pantalla del salpicadero y encontrar información online.

Los fabricantes de coches, además de Google y Apple, afirman que estos sistemas no suponen ninguna amenaza puesto que ambos en esencia proyectan la pantalla del móvil a la pantalla del coche. "No manipulan datos", dice Brad Stertz, un portavoz de Audi, que está incorporando CarPlay y Android Auto a los vehículos.

Pero los expertos en seguridad no lo tienen tan claro. Charlie Miller, uno de los investigadores que hackeó el Jeep Cherokee, dice que no ha estudiado CarPlay ni Android Auto pero cree que "probablemente representan un vector", lo que significa que podrían representar una puerta de acceso al resto del coche.

Kevin Mahaffey, el director de Tecnología de Lookout y uno de los investigadores responsables de un hackeo reciente a Tesla, dice que es una posibilidad que debe tenerse en cuenta. "Mientras aumentan las comunicaciones entre los coches y los móviles, yo creo que empiezan a mezclarse los problemas de seguridad", dice. "No puedo realizar ningún anuncio acerca de las futuras investigaciones, pero la intersección de móviles y sistemas cruciales para la seguridad vial es cada vez mayor, así que es un tema al que prestamos mucha atención".

Desde luego sigue siendo bastante complicado hackear un coche. El ataque al Jeep requirió un proceso de ingeniería inversa y una reprogramación de un chip informático del sistema de entretenimiento del vehículo. Aun así, las habilidades requeridas están empezando a extenderse, mientras se publican más fuentes de código de intrusos y más personas se interesan por la seguridad del vehículo.

Corman dice que alrededor de 10 expertos enseñaban a los asistentes cómo hackear un coche en el evento de Defcon: "La población de hackers de coche está creciendo rápidamente". (MIT)

No hay comentarios:

Publicar un comentario