¿Necesita su coche un Interruptor de Internet?

En los buenos tiempos de los carburadores y distribuidores, el juego consistía en abrir las cerraduras de las puertas y encender el motor para impulsar un coche. La tecnología se levantó para combatir esto, usted puede recordar los sistemas de inmovilización que agregaron un chip a la llave de encendido sin el cual el vehículo no podría ser arrancado.

Pero junto a los avances en seguridad antirrobo, los vehículos modernos obtuvieron una serie de controles electrónicos que cubren todo, desde el sistema de entretenimiento hasta la dirección y los frenos. Combine esto con Bluetooth, WiFi y conectividad celular y la superficie de ataque ha crecido mucho más allá de los límites físicos de los parachoques y las zonas de contracción que rodean al conductor.

Los atacantes cibernéticos pueden ahora comprometer a los vehículos desde la comodidad de sus propios hogares. Esto puede ir desde lo mundano, como la lectura de datos de localización del sistema de navegación, hasta hazañas más nefastas capaces de poner en peligro la vida de los conductores.

Esta situación plantea la pregunta: ¿Qué se puede hacer para proteger a estos vehículos de tipos inescrupulosos? ¿Cómo podemos dar al usuario el control final sobre quién tiene acceso a la red de datos que serpentea por todo su vehículo? Una posible solución que se está viendo hoy en día es la adición de interruptores de Internet.

El alcance del problema

Charlie Miller y Chris Valasek toman el control remoto de una Jeep Cherokee

Como cualquier hacker sabe, un ordenador conectado es un ordenador vulnerable. En los vehículos, los sistemas embebidos no sólo están conectados a Internet, sino que también son capaces de controlar los sistemas de seguridad vitales. Aunque muchos consideraron que estas preocupaciones no eran realistas, la incómoda verdad llegó a casa en 2015.

Los investigadores de seguridad Charlie Miller y Chris Valasek pudieron tomar el control remoto de un Jeep Cherokee, con sólo una computadora portátil y una conexión de datos 3G 1. El dúo pudo escanear Internet en busca de nuevos objetivos e incluso rastrear varios automóviles Chrysler en todo el país gracias al GPS y a sus sistemas de entretenimiento en el tablero.

Este descubrimiento llevó al retiro del mercado de 1,4 millones de vehículos, con Chrysler enviando actualizaciones de firmware en unidades USB para reparar la vulnerabilidad. Además, se hizo un cambio para bloquear el acceso a los Jeeps individuales a través de Internet 2. Esta medida protege contra la intrusión por sí misma, ya que el ataque no puede proceder sin una conexión, una medida que protegerá a los vehículos sin parchear en el entorno urbano. Esto mostró el valor de cortar el enlace de datos en términos de hacer que un vehículo sea resistente a los ataques.

Aunque el hack se limitó a los automóviles Fiat-Chrysler equipados con sistemas de información y entretenimiento Uconnect, puso de relieve los riesgos más amplios para todos los vehículos conectados. El hecho de que un hacker fuera capaz de atacar de forma remota un coche a través de Internet e interferir con la transmisión, los frenos y otras funciones fue una llamada de atención para la industria. Dejó claro tanto a los fabricantes de automóviles como al público que las cuestiones de ciberseguridad están presentes en la carretera.

Una solución potencial

Jeep Cherokee se sale de la carretera

El código defectuoso se encuentra en todas partes, y no es realista creer que los fabricantes de automóviles puedan producir automóviles con cero vulnerabilidades. Aunque las actualizaciones vía satélite y las prácticas de seguridad básicas ayudarán a frenar la marea, siempre habrá algún exploit ocasional de día cero que envíe a todo el mundo a un bucle. Para las computadoras personales, esto se considera un riesgo aceptable. Sin embargo, un coche comprometido puede poner vidas en peligro. Además, aunque útil, una conexión a Internet no es realmente un requisito para que un coche pueda proporcionar transporte.

Por lo tanto, una herramienta útil en la defensa contra los ciberataques de automóviles podría ser una muy sencilla: dar al usuario la posibilidad de desconectar de Internet al vehículo por completo. Si bien esto cerraría los servicios de radio streaming y algunas otras funciones no esenciales, también haría los ataques remotos imposibles. Todos los hacks de firmware en el mundo no valen nada si no puedes hacer una conexión con el vehículo para entregar los datos, después de todo.

Para hacer esto más fácil, los vehículos podrían ser provistos con un interruptor de Internet para apagar todas las comunicaciones inalámbricas y celulares a los sistemas del vehículo. Requeriría un diseño cuidadoso y considerado, e idealmente tendría una forma estandarizada para todos los fabricantes. Naturalmente, se requeriría un esfuerzo concertado para educar al público sobre el uso de este dispositivo.

Los beneficios de un dispositivo de este tipo serían muchas y abarcarían tanto la seguridad como la privacidad. En el caso de que se utilice un exploit en entorno libre, permitiría a los usuarios seguir conduciendo de forma segura mientras esperan a que un parche esté disponible. Compare esto con la situación actual, en la que cualquiera que desee desactivar las conexiones inalámbricas a su vehículo, tendría que navegar por menús de software diferentes para cada marca (y posiblemente modelo) de vehículo, o recurrir a la vieja escuela y empezar a desconectar los fusibles.

Posibles desventajas

Por supuesto, también hay inconvenientes potenciales. Los consumidores son notablemente difíciles de educar. Es probable que muchos activen el interruptor de Internet sin darse cuenta, y luego llegarán a su concesionario enfurecidos por su sistema de entretenimiento, el cual se rehúsa a transmitir música en streaming, o que no logran conectar su móvil para el uso de manos libres.

Cualquier trabajador de soporte Help Desk de TI estará familiarizado con las molestias causadas por los interruptores de hardware WiFi ocultos en los costados de las laptops, sin que los usuarios desafortunados lo sepan. Además, si no se coloca en una ubicación clara y obvia, o si la funcionalidad está oculta en lo profundo de un sistema de menús, muchos conductores fallarán en el uso del sistema por completo.

A pesar de esto, parece una locura que los vehículos modernos conectados a Internet aún no tengan una forma rápida y fácil de apagar sus conexiones inalámbricas. De la misma manera que la controversia sobre los neumáticos de Firestone llevó a la obligatoriedad de los monitores de presión de los mismos, puede ser necesaria una controversia generalizada para obligar a los gobiernos a actuar.

Aparte de conducir con un interferente celular, un chofer promedio puede hacer muy poco para protegerse contra los ciberataques vehiculares. Si los fabricantes de automóviles son incapaces de proteger a los consumidores, podemos ver que la comunidad encuentra sus propias soluciones, incluso si es tan simple como no pagar sus cuentas de servicio celular.

Mientras tanto, esperaremos con la respiración contenida a que el próximo gran hacker de la industria automotriz se convierta en el centro de atención. Esperemos que las medidas correctivas estén en marcha lo antes posible, no sea que todos sucumbamos a hordas de vehículos zombis, al Azar de los Furiosos.

Referencias

  1. https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/[]
  2. https://www.endgame.com/blog/technical-blog/sprint-defaults-and-jeep-hack-could-basic-network-settings-have-prevented[]
Cerrar menú