Los fabricantes de autos quizá les llamen vehículos de conducción autónoma. Pero los hackers les llaman computadoras que viajan a más de 160 kilómetros por hora.
“Ya no son autos”, dijo Marc Rogers, el investigador de seguridad principal en la firma de seguridad cibernética CloudFare. “Se trata de centros de datos sobre ruedas. Cualquier parte del auto que hable con el mundo exterior es una potencial puerta de entrada para los atacantes”.
Esos temores se hicieron patentes hace dos años cuando dos hackers de “sombrero blanco” –investigadores que buscan vulnerabilidades computacionales para detectar problemas y arreglarlos, en vez de cometer un crimen– obtuvieron acceso a un Jeep Cherokee desde su computadora. Volvieron impotente a su maniquí de prueba de choques (en este caso un nervioso reportero) sobre su vehículo y desactivaron la transmisión en medio de una autopista.
Los hackers, Chris Valasek y Charlie Miller (ahora investigadores de seguridad respectivamente en Uber y Didi, un competidor de Uber en China), descubrieron una ruta electrónica del sistema de entretenimiento del Jeep a su tablero. Desde ahí, tuvieron control del volante, los frenos y la transmisión del vehículo; todo lo que necesitaban para paralizar al conductor.
“El hackeo de autos produce titulares grandiosos, pero recuerden: a nadie le ha hackeado su auto un tipo malo”, escribió Miller en Twitter.
Sin embargo, la investigación de Miller y Valasek resultó en un alto precio para el fabricante de Jeep, Fiat Chrysler, el cual se vio forzado a llamar al taller 1,4 millones de sus vehículos . No sorprende que Mary Barra, directora ejecutiva de General Motors, llamara a la seguridad cibernética la prioridad máxima de su empresa el año pasado.
Búsqueda de talento
Las habilidades de los investigadores y los llamados hackers de sombrero blanco son muy demandadas entre los fabricantes de autos y las compañías tecnológicas que desarrollan proyectos de conducción autónoma.
Uber, Tesla, Apple y Didi han estado reclutando activamente a hackers de sombrero blanco como Miller y Valasek robándoselos unos a otros y de las firmas de seguridad cibernética tradicionales y los círculos académicos.
El año pasado, Tesla se robó a Aaron Sigel, gerente de seguridad de Apple para su sistema operativo iOS. Uber se robó a Chris Gates, ex hacker de sombrero blanco en Facebook. Didi se robó a Miller de Uber, donde había ido a trabajar después del hackeo del Jeep. Y firmas de seguridad han visto a docenas de ingenieros dejar sus filas para dirigirse a proyectos de vehículos autónomos.
Miller dijo que dejó Uber por Didi, en parte, porque su nuevo empleador chino le ha dado más libertad para discutir su trabajo.
“Los fabricantes de autos parecen estar tomando más en serio la amenaza de un ataque cibernético, pero a mí me gustaría ver más transparencia de parte de ellos”, escribió Miller en Twitter.
Como varias grandes compañías tecnológicas, Tesla y Fiat Chrysler empezaron a pagar recompensas a hackers que revelaran fallas que los hackers descubran en sus sistemas. GM ha hecho algo similar, aunque sus críticos dicen que el programa de GM es limitado en comparación con los ofrecidos por las compañías tecnológicas, y hasta ahora no se han pagado recompensas.
Un año después del hackeo al Jeep, Miller y Valasek demostraron todas las otras formas en que podían molestar a un conductor de Jeep, incluyendo el hackeo del control de crucero del vehículo, hacer girar el volante 180 grados o poner el freno de mano en medio de un tráfico de alta velocidad; todo desde una computadora en la parte posterior del vehículo. (Las hazañas terminaron con su Jeep de prueba en una zanja y una llamada a una compañía de grúas.)
Cierto, tenían que estar en el Jeep para hacer que todo eso sucediera. Pero fue una evidencia de lo que es posible.
La penetración del sistema del Jeep fue precedida por un hackeo en 2011 por parte de investigadores de seguridad de la Universidad de Washington y la Universidad de California en San Diego, quienes fueron los primeros en hackear de manera remota un sedán y finalmente controlar sus frenos vía Bluetooth. Los investigadores advirtieron a las compañías que entre más se conectaran los autos, se volvía más probable que fueran hackeados.
Vulnerables
Investigadores de seguridad también lograron penetrar en un auto Modelo S cargado de software de Tesla. En 2015, Rogers y Kevin Mahaffey, director de tecnología de la compañía de seguridad cibernética Lookout, encontraron una forma de controlar varias funciones de Tesla desde su laptop físicamente conectada.
Un año después, un equipo de investigadores chinos en Tencent llevó su investigación un paso adelante, hackeando un Tesla Modelo S en movimiento y controlando sus frenos desde casi 20 kilómetros de distancia. A diferencia de Chrysler, Tesla pudo enviar un parche remoto para corregir los huecos de seguridad.
En todos los casos, los hackeos a vehículos fueron obra de investigadores de seguridad de sombrero blanco bien intencionados. Pero la lección para todos los fabricantes de autos fue clara.
Las motivaciones para hackear automóviles son ilimitadas. Cuando se enteró de la investigación de Rogers y Mahaffey en el Modelo S de Tesla, un creador de aplicaciones móviles chino preguntó a Rogers si estaría interesado en compartir o vender su descubrimiento. (El creador de aplicaciones estaba buscando una puerta trasera para instalar su aplicación móvil en el tablero de Tesla.)
Los criminales no han demostrado aún que hayan encontrado puertas traseras en los vehículos conectados, aunque durante años han estado desarrollando, comerciando y desplegando activamente herramientas que pueden interceptar las comunicaciones clave de los vehículos.
A medida que más autos sin conductor y semiautónomos lleguen a las calles , se volverán un blanco más digno de atención. Expertos en seguridad advierten que los vehículos de conducción autónoma presentan una “superficie de ataque” mucho más compleja, intrigante y vulnerable para los hackers. Cada nueva función en un auto conectado introduce mayor complejidad, y con la complejidad inevitablemente viene la vulnerabilidad.
Hace 20 años, los autos tenían, en promedio, un millón de líneas de código. El Chevrolet Volt 2010 de General Motors tenía unos 10 millones de líneas de código; más que un jet de combate F-35.
Hoy, un auto tiene en promedio más de 100 millones de líneas de código. Los fabricantes de autos predicen que no pasará mucho tiempo antes de que tengan 200 millones. Cuando uno se detiene a considerar que, en promedio, hay entre 15 y 50 defectos por cada mil líneas de código, las debilidades potencialmente aprovechables aumentan rápidamente.
La única diferencia entre el código de una computadora y el código de un vehículo de conducción autónoma es que, “a diferencia de la seguridad de una empresa de centro de datos –donde la mayor amenaza es la pérdida de datos–, en la seguridad automovilística, es la pérdida de vidas”, dijo David Barzilai, cofundador de Karamba Security, una empresa israelí.
Para hacer seguros a los vehículos autónomos, dicen los expertos en seguridad, los fabricantes tendrán que abordar las vulnerabilidades que surjan en los nuevos sensores y computadoras y lo más desafiante, zanjar la división entre los fabricantes de autos y las compañías de software .
“El genio salió de la botella, y solucionar este problema requerirá un cambio cultural”, dijo Mahaffey de Lookout”.