Acabo de recuperarme de la sobrecarga sensorial que es el CES para reunir mis ideas sobre la nueva edición de este fascinante evento. Este artículo, sobre hacking de autos conectados, es el primero de dos.
Los vehículos nuevos son computadoras en red con un motor conectado. ¿El tuyo no se sincroniza con tu teléfono cuando detecta que estás manejando? Eso es tan de 2016…
En el CES de este año vimos autos que tratan de unir todos los puntos a lo largo de tu viaje en la mañana, incluyendo la sugerencia de rutas con menor congestión, recordatorios de citas y cosas por el estilo. Pero cuando este complejo ecosistema tiene problemas, ¿a quién llamas? Los fabricantes de vehículos señalan a los sistemas tercerizados, y ellos, a su vez, señalan a sus proveedores. Y tú te encuentras manejando un rejunte de tecnología que casualmente es móvil.
Recientemente compré un auto nuevo, y el vendedor me dijo qCue debía extender la garantía porque reemplazar la computadora cuesta más que cualquier otro componente, incluyendo el motor. Trata de explicarle eso a los coleccionistas. No se deslizará sobre superficies resbaladizas, trata de estacionarse a sí mismo y hace otras cosas que distraen y no he descubierto todavía. Sus manuales son gruesos libros, pero ¿quién lee los manuales?
ESTÁ CADA VEZ MÁS CLARO EN EL CES QUE EL MOTOR ES UN ACCESORIO
Está cada vez más claro para la gente en el CES que el motor es en verdad un accesorio, que puede ser reemplazado por uno eléctrico pronto, y que la computadora necesita registrar el voltaje a ese accesorio y hacerte saber sobre él, probablemente a través de una app en tu smartphone, que aparece en el monitor de tu tablero cuando te acercas al coche.
Así que hemos completado el círculo. Si hace años tenías una computadora de oficina, te sentabas en una silla y cumplías una tarea, ahora te sientas en una silla con un cinturón de seguridad en compañía de una computadora que se está moviendo. Pero de la misma manera que durante años hemos estado peleando contra ataques a computadoras de escritorio, las cuales todavía tienen problemas, veremos cada vez más inconvenientes con toda esa experiencia móvil. Pero ya no sé a quién debo llamar.
Le hice esa pregunta a alguien del staff de un stand. No tenía ni idea. Aparentemente, la conectividad al auto la maneja una compañía de comunicación asociada con los que hacen el auto, quienes también están asociados a la gente responsable de la computadora, los del stand que estaba visitando.
Tengo un colega en la industria que trató de hackear su auto con un software que consiguió en línea. Logró bajarle la potencia y ponerlo en “modo protección” (“limp mode”) para limitar su funcionalidad, de manera que apenas podía manejarlo a baja velocidad y terminó yendo al servicio técnico para decirle que algo se había roto y no sabía qué. Tampoco podían entenderlo, y eventualmente reemplazaron la computadora. No le cobraron, así que tuvo mucha suerte.
Los comerciantes se volverán más sofisticados para detectar intentos de ataque, incluso aunque el mercado de ataques para modificar el funcionamiento crezca. Hay una serie de nuevas cosillas aquí que te permiten interactuar con tu coche más fácilmente, y cada año en DEF CON hay más espacio dedicado a este tema.
Al menos los fabricantes están trabajando en mejores firewalls para mantener protegidas a la computadoras, pero eso tardará años en llegar a las tiendas, lo que significa que hay millones de autos en la calle que los atacantes tratarán de explotar (básicamente todos).
Si se encuentra una vulnerabilidad, tendrán millones de vehículos a los que prestar atención ya que no tienen una forma efectiva de ser actualizados, y pocos conductores prestarán atención a la advertencia de llevarlos a servicio técnico para un parche.
Pero no todo está perdido. Hay muchas startups que están buscando construir equipamiento anti-hacking para autos modernos; restará ver si los fabricantes te dejarán usarlo sin tener que anular la garantía. Si aprenden a trabajar junto a la comunidad, podemos sacar a relucir las lecciones aprendidas durante un largo período que comenzó con sillas frente a computadoras en escritorios, y mantenernos todos un poco más seguros.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
