La promesa del coche conectado es fantástica. Vehículos que facilitan la conducción, que minimizan el consumo, que aportan todo tipo de opciones de control y comodidad y que teóricamente ayudan a minimizar los riesgos en la carretera.
Pero todas esas prestaciones podrían tener un precio demasiado elevado. Los recientes descubrimientos de vulnerabilidades en coches de diversos fabricantes han hecho que muchos se den cuenta de que un coche conectado es también un coche expuesto. Y mucho.
Los fabricantes comienzan a vislumbrar los peligros
La actitud de los fabricantes tradicionales ha sido la de no colaborar con esos expertos en seguridad e incluso demandarles. En Ars Technica comprobaron como gigantes como GM o Chrysler no quisieron hablar sobre el tema, y Ford simplemente envió un comunicado oficial en el que afirmaba seguir muy de cerca la investigación en materia de ciberseguridad y cómo había afectado a otras empresas recientemente.
Tesla es mucho más abierta en este sentido y de hecho recientemente puso en marcha un programa de búsqueda de vulnerabilidades que permite ganar 10.000 dólares a aquellos que logren encontrar fallos de seguridad reproducibles. De hecho, su CTO, JB Straubel, quiso estar respondiendo a dudas durante la presentación de la vulnerabilidad que dos expertos encontraron en sus Tesla S y que mostraron en la conferencia DEF CON.
La actitud de los fabricantes tradicionales ha sido la de no colaborar con esos expertos en seguridad
No ocurrió igual con los descubridores del fallo de seguridad en los coches del conglomerado Fiat Chrysler. A pesar de que los expertos trabajaron con los responsables de la firma para lanzar un parche y solucionar el problema, la actualización se ofreció en forma de una llave USB que los propietarios podían aplicar voluntariamente, pero que no se publicó como algo obligatorio.
Amenazas por doquier
Aunque la operadora Sprint que trabaja con esta firma acabó bloqueando el acceso remoto a los coches de Chrysler afectados cuando se desvelaron las vulnerabilidades en la conferencia Black Hat, un vídeo publicado en Wired demostró que el ataque era posible. Eso causó el anuncio para que un millón de coches tuvieran que pasar por el taller para que se les efectuase la actualización de forma obligatoria.
La integración de todo tipo de sensores en los coches hace que los potenciales objetivos de vulnerabilidades para aprovechar por parte de los ciberatacantes sean múltiples.El uso de llaves "presenciales" que son detectadas a través de ondas de radio de baja potencia, la presencia de dispositivos conectados al conector ODB II (On-board Diagnostics II, necesario para pruebas de emisiones de gases), el soporte de comunicaciones de datos directas en el vehículo, e incluso los sensores de la presión de las ruedas son algunos de los ejemplos.
Algunas de las vulnerabilidades expuestas por los investigadores han demostrado (PDF aquí) que hacer uso de ataques man-in-the-middle en sistemas de inicio del motor sin llave (keyless) es una de las muchas posibilidades, pero es que aun cuando esos sistemas estén protegidos, hay otro eslabón débil en esa cadena: las aplicaciones móviles.
Sammy Kamkar, el expertos que desveló estos problemas en DEF CON, indicó que las aplicaciones que usamos en los smartphones y que se conectan a los servicios telemáticos de los coches de varios fabricantes tiene problemas de seguridad notables. Muchos de llos permiten monitorizar la posición de estos coches, o abrirlos y arrancarlos remotamente.
Era el caso de coches de General Motors, BMW, Mercedes-Benz y Fiat Chrysler. Y a todo ello se le suman las vulnerabilidades de los sistemas y servicios accesibles en la nube: los servidores que albergan dichos servicios tampoco son infalibles.
La integración de más y más software en los coches plantea riesgos potenciales enormes. Lo comentaba Dan Geer, el máximo responsable de seguridad en la empresa In-Q-Tel, financiada por la CIA y orientada a financiar a otras empresas que puedan "incubar tecnologías que puedan ayudar a operaciones de inteligencia". Este experto lo dejaba claro:
El número total de fallos de seguridad crecerá a medida que crezcan las líneas de código. El número total de puntos de acceso a código que se pueda explotar crece a medida que el número de dispositivos en la red crece. Y el número total de adversarios puede crecer porque ahora hemos demostrado que el hacking de coches ya no es teórico, sino real.
Todo ello no hace más que dejar claro que cuanta más tecnología introducimos en un coche, mayor es el compromiso con la garantía de seguridad existente en dicho vehículo. Todos esas funciones añadidas por los fabricantes aportan más y más comodidad, pero estos problemas y las amenazas para el futuro hacen que el sacrificio sea quizás demasiado importante. Y además está otro componente clave en esa amenaza: el CAN.
La arquitectura CAN -Controller Area Network- utilizada en los coches permite interconectar componentes que tienen que ver con los sistemas básicos -el control del motor, el encendido, la dirección o el funcionamiento del bloqueo de los frenos- pero también se suele usar en la interconexión de otros sistemas telemáticos del coche como los que proporcionan el ocio multimedia o la navegación con mapas.
Muchos fabricantes separan un controlador (básico) de otro, pero el problema es que aunque originalmente se fabricaron estos CANs con acceso de solo lectura, la integración de nuevas funciones hacía necesaria el acceso a estas unidades de control, y eso imponía nuevos riesgos que se han aprovechado, sobre todo, a través de su conexión con el citado ODB II.
Este puerto de diagnóstico se ha utilizado en el pasado para realizar modificaciones del motor -algo así como el overclocking o el jailbreak que hacemos a nuestros PCs o a nuestros móviles-, pero sus implicaciones actuales son mucho más profundas. Como explican en Ars Technica, diversos expertos en seguridad lograron precisamente acceder al control de diversos sistemas a través de ese puerto ODB II, algo que de nuevo demuestra las implicaciones de seguridad que están presentes.
Los coches autónomos serán, además, unos verdaderos chivatos
Lo que está sucediendo en el ámbito de los coches tradicionales que conducimos a diario es tan solo la antesala de lo que podría ocurrir en el futuro. Parece casi inevitable pensar en la implantación masiva del coche autónomo en nuestras vidas. Es cierto que ese cambio radical en nuestras calles y carreteras no tendrá lugar de forma inmediata, pero todo apunta a que llegará irremediablemente.
Esos coches autónomos serán también coches conectados, y en este ámbito aparecerán muchos más elementos en esa interconexión. Las ventajas serán muchas para la seguridad y la comodidad de los pasajeros, pero los inconvenientes en materia de ciberseguridad crecerán de forma exponencial.
En ese futuro parece evidente que los coches se comunicarán con otros: mi coche sabrá cuándo el que está al lado pretende cambiar de carril o cuándo un kilómetro más allá hay un accidente. Pero esa enorme red de comunicación en la que se hablarán los vehículos también estará sujeta a los riesgos de seguridad de cualquier otra red informática.
Nos lo explicaba con claridad Román Ramírez (@patowc), experto en seguridad y creador de las conferencias Rooted CON a las que pudimos asistir hace unos meses. Uno se vuelve un poco más paranoico cuando habla con Ramírez de temas de ciberseguridad, y el efecto tras esta charla ha sido el mismo, porque las implicaciones para nuestra sociedad pueden ser enormes.
En primer lugar, en el funcionamiento de las aseguradoras, que según él "no pondrán fácil que haya conductores humanos". El planteamiento de este experto era el mismo que el de otros analistas que lo dejan claro: en un futuro con coches autónomos no puede haber conductores humanos, porque precisamente éstos serán los que introducirán la mayor variable de riesgo en las carreteras.
Además, en ese futuro esas mismas aseguradoras tendrán a los mejores chivatos del mundo para saber qué ha ocurrido con exactitud: nuestros coches. Cualquier evento que se produzca será registrado por los vehículos implicados, que a su vez compartirán esos datos con las aseguradoras para gestionar el potencial accidente.
La industria tecnológica presta su ayuda
La preocupación por la situación actual -y sobre todo, futura- de este segmento ha hecho que algunos comiencen a mover ficha. Es el caso de la organización I Am The Cavalry, especializada en ciberseguridad aplicada a diversos tipos de vehículos, y desde la que sus responsables quieren concienciar a los fabricantes de coches para tomar muy en serio este tipo de amenazas.
Este grupo de expertos han puesto en marcha un programa con cinco "estrellas" -así las llaman- con las que paso a paso tratan de guiar a los fabricantes en los procesos que deberían ayudar a proteger este área en sus vehículos. El proceso es exigente y de hecho solo Tesla ha conseguido dos de esas estrellas (la que implica que la seguridad es clave en las fases de diseño, y la que hace que el fabricante colabore con terceras partes), pero esto es solo el principio.
No son los únicos en tratar de lidiar con el problema. Intel ha creado lo que llaman el Automotive Security Review Board, formado por investigadoras que quieren desarrollar y evaluar técnicas y estrategias para lograr que el software de nuestros coches sea más seguro. Esta empresa ha publicado ya una serie de sugerencias (PDF), y es una muestra más de que los grandes de la tecnología -los que mejores saben a qué se riesgos se enfrenta la industria automovilística- están dispuestos a ayudar en este terreno.
Esa conexión continua a esa red de datos constituida por estos vehículos de la que hablábamos tendrá por supuesto enormes implicaciones para la seguridad, nos decía Ramírez. Lograr una intrusión en estos vehículos tendría consecuencias desastrosas que irían desde los homicidios a los magnicidios. Los virus y el malware que asolan nuestros ordenadores podrían inundar también a estos coches, y la única solución posible es la que apuntan otros expertos en seguridad: que la industria del automóvil se alíe con la de la seguridad.
Este experto nos explicaba cómo los responsables de las empresas tradicionales deben asumir su responsabilidad, y "deben tener en cuenta la seguridad desde el diseño". Al hablar de la propuesta de I Am The Cavalry Ramírez dejaba claro que este sistema de "ratings" era precisamente lo ideal para comenzar a trabajar con los fabricantes. No solo eso: esas calificaciones deberán ser comunicadas a los clientes, algo que podría compararse a lo que ocurre con la eficiencia energética de algunos electrodomésticos.
Existen al menos dos paralelismos claros en este ámbito. En aviación, por ejemplo, hay unos estándares muy estrictos porque se trata de un medio de transporte especialmente delicado. Esa idea es difícilmente aplicable a la industria de la automoción, nos explicaba Ramírez, que cree que es posible la innovación propietaria que llevan a cabo estos fabricantes sin que ello sea obstáculo para establecer ese marco de seguridad unificado.
Pero además estaba el caso de los teléfonos en empresas, nos indicaba. Antes en una empresa se controlaban todos los teléfonos de los empleados, algo que permitía reducir los riesgos de seguridad y a gestionar de forma centralizada las comunicaciones profesionales. Ahora la filosofía BYOD se ha impuesto y las empresas tienen menos autonomía para lograr que los problemas de seguridad no se produzcan por culpa de un terminal que el empleado utiliza tanto en su vida privada como en su labor profesional.
Es el turno de los fabricantes
Como explicaba Cory Doctorow en BoingBoing, la única defensa contra estas amenazas es la de lograr que los fallos se descubran por parte de gente que quiere ayudar e informar a los fabricantes. Obviamente estos tienen otros intereses, y como ha ocurrido en otros ámbitos, que se descubra una vulnerabilidad grave en sus vehículos puede resultar desastroso para las ventas o la imagen de marca.
Pero Doctorow va más allá y nos recuerda cómo muchos fabricantes tienen una visión demasiado cerrada en este tema. En General Motors, por ejemplo, creen que no somos propietarios de nuestro coche -¿recordáis los tractores de John Deere?-, y que la investigación de vulnerabilidades es una forma de piratería. Y hay más:
La mentalidad de los fabricantes puede condenar definitivamente a la industria: debe cambiar de forma radical o la exposición será terrible.
Chrysler fue repetidamente informada sobre el fallo que causó la retirada para reparación de 1,4 millones de vehículos y no hizo nada hasta que el asunto saltó a las portadas. Volkswagen demandó a los investigadores de seguridad y a las organizaciones técnicas que descubrieron los principales fallos del sistema de entrada sin llaves de sus coches.
Son solo algunos ejemplos de una mentalidad que puede condenar definitivamente a la industria, y que debe cambiar de forma radical si no queremos que esos coches que cada vez son más ordenadores con ruedas se conviertan en un peligro muy real en una rutina diaria a la que tendremos que enfrentarnos en el futuro.
Imagen | Wired
En Xataka | Una vulnerabilidad permite a los hackers controlar los coches de Chrysler con UConnect
Ver 22 comentarios