Cómo los fabricantes de autos están reforzando la seguridad informática

Hace siete años, científicos nucleares de Irán estaban siendo asesinados en una serie de ataques similares: agresores en motocicletas se acercaban a sus autos en movimiento, les colocaban bombas magnéticas y las hacían detonar después de que habían huido del lugar.

En otros siete años, los asesinos no necesitarán motocicletas o bombas magnéticas. Todo lo que necesitarán es una laptop y un código para hacer que vehículos autónomos se precipiten en un puente, choquen contra un camión o se detengan inesperadamente en medio del tráfico.

Los fabricantes de autos quizá les llamen vehículos autónomos. Pero los hackers les llaman computadoras que viajan a más de 160 kilómetros por hora. "Ya no son autos", dijo Marc Rogers, investigador de seguridad en CloudFare. "Se trata de centros de datos sobre ruedas. Cualquier parte del auto que hable con el mundo exterior es una potencial puerta de entrada para los atacantes", apuntó.

Esos temores se hicieron patentes hace dos años cuando dos hackers de "sombrero blanco" –investigadores que buscan vulnerabilidades para detectar problemas y arreglarlos, en vez de cometer un crimen o causar problemas– obtuvieron acceso a un Jeep Cherokee desde su computadora. Volvieron impotente a su maniquí de prueba de choques (en este caso un nervioso reportero) sobre su vehículo y desactivaron la transmisión en medio de una autopista.

Los hackers, Chris Valasek y Charlie Miller (ahora investigadores de seguridad respectivamente en Uber y Didi, un competidor de Uber en China), descubrieron una ruta electrónica del sistema de entretenimiento. Desde ahí, tuvieron control del volante, los frenos y la transmisión del auto; todo lo que necesitaban para paralizar al conductor.

La investigación resultó en un alto precio para el fabricante de Jeep, Fiat Chrysler, el cual se vio forzado a llamar al taller 1,4 millones de unidades.

Ahora las habilidades de los investigadores son muy demandadas entre los fabricantes y las compañías tecnológicas que desarrollan proyectos de vehículos autónomos. Uber, Tesla, Apple y Didi han estado reclutando activamente a hackers de sombrero blanco como Miller y Valasek.

El año pasado, Tesla se robó a Aaron Sigel, gerente de seguridad de Apple para su sistema operativo iOS. Uber se robó a Chris Gates, exespecialista en Facebook. Didi se robó a Miller de Uber, donde había ido a trabajar después del hackeo del Jeep.

"Los fabricantes de autos parecen estar tomando más en serio la amenaza de un ataque cibernético", escribió Miller en Twitter.

Como varias grandes compañías tecnológicas, Tesla y Fiat Chrysler empezaron a pagar recompensas a hackers que revelen fallas en sus sistemas.

Miller y Valasek demostraron todas las otras formas en que podían molestar a un conductor, incluyendo el hackeo del control de crucero del vehículo, hacer girar el volante 180 grados o poner el freno de mano en medio de un tráfico de alta velocidad; todo desde una computadora en la parte posterior del vehículo. Esas hazañas terminaron con su Jeep de prueba en una zanja y una llamada a la grúa. Cierto, tenían que estar en el Jeep para hacer que todo eso sucediera. Pero fue una evidencia de lo que es posible.

La penetración del sistema del Jeep fue precedida por un hackeo en 2011 por parte de investigadores de seguridad de las universidades de Washington y de California en San Diego, quienes fueron los primeros en hackear de manera remota un sedán y controlar sus frenos vía Bluetooth. Los investigadores advirtieron a las compañías automovilísticas que entre más se conectaran los autos, se volvía más probable que fueran hackeados.

Investigadores de seguridad también lograron penetrar en un Modelo S de Tesla en 2015 al encontrar una forma de controlar varias funciones desde una laptop físicamente conectada. Un año después, investigadores chinos dieron un paso más al hackear un Modelo S en movimiento y controlando sus frenos desde casi 20 kilómetros de distancia.

En todos los casos, los hackeos a vehículos fueron obra de investigadores bienintencionados. Pero la lección para todos los fabricantes de autos fue clara.

Los criminales no han demostrado aún que hayan encontrado puertas traseras en los vehículos conectados, aunque durante años han estado desarrollando, comerciando y desplegando activamente herramientas que pueden interceptar las comunicaciones clave de los vehículos.

Pero a medida que más autos sin conductor y semiautónomos lleguen a las calles, se volverán un blanco más digno de atención. Expertos advierten que estos presentan una "superficie de ataque" mucho más compleja, intrigante y vulnerable. Cada nueva función en un auto conectado introduce mayor complejidad, y con la complejidad viene la vulnerabilidad.

Hace 20 años, los autos tenían, en promedio, un millón de líneas de código. El Chevrolet Volt 2010 de General Motors tenía unos 10 millones de líneas de código; más que un jet de combate F-35. Hoy, un auto promedio tiene más de 100 millones de líneas de código. Los fabricantes de autos predicen que no pasará mucho tiempo antes de que tengan 200 millones. Cuando uno se detiene a considerar que, en promedio, hay entre 15 y 50 defectos por cada mil líneas de código de software, las debilidades potencialmente aprovechables aumentan rápidamente.

La única diferencia entre el código de una computadora y el código de un vehículo autónomo es que, "a diferencia de la seguridad de una empresa de centro de datos –donde la mayor amenaza es la pérdida de datos–, en la seguridad automovilística, es la pérdida de vidas", dijo David Barzilai, cofundador de Karamba Security, una empresa emergente israelí que está trabajando en abordar la seguridad automovilística.