Los hackers apuntan hacia nuevo blanco

Los ciberataques amenazarán con extorsionar a sus víctimas a través de los automóviles conectados.

Luis Corrons, de Panda Software, explica que no tiene dudas en que “los fabricantes se toman muy en serio el riesgo de cibertaques, porque en cuanto haya un automóvil vulnerable nadie lo querría comprar porque arriesgaría su vida”.

Corrons recuerda un episodio que se hizo famoso hace dos años: “Un periodista de la revista Wired fue testigo directo de un ataque consentido a un Jeep por parte de Chris Miller, investigador muy reputado en temas de seguridad. El periodista, que ya estaba sobre aviso, y mientras conducía por la autopista, presenció cómo de forma remota los hackers subían el aire acondicionado, bajaban las ventanillas, ponían la música a tope y otras cosas divertidas hasta que comenzaron a manejar el freno, el acelerador y la dirección. Básicamente se podría utilizar todo lo anterior para provocar un accidente, y estamos hablando de 2015. Los hackers descubrieron un agujero de seguridad que les permitía hacer eso.

El mismo experto de Panda Software sugiere a los fabricantes que tengan claro la seguridad informática en el diseño de todo el sistema del vehículo. Así, por ejemplo, “es necesario que los sistemas de entretenimiento del vehículo no estén conectados a otros más críticos, como ocurre en los aviones, donde por un lado están los monitores para ver películas o jugar y luego están los controles de vuelo, con sistemas que están hasta físicamente separados”. Así, añade que “se evitan los riesgos, porque mientras que el software del vehículo lo ha producido el fabricante, los de entretenimiento están realizados por terceros, como Android, Apple o una aplicación externas y a los que no se les presta tanta atención por no ser críticos”.

David Sancho, investigador senior de antimalware de Trend Micro, asegura que desde que los vehículos tienen interfaces con los que alguien puede conectarse a ellos y hacer cosas, de la misma forma podría acceder un atacante. “Han existido ciberataques documentados de automóviles, aunque no se han visto ataques criminales todavía, pero es indudable que existen agujeros”. En su opinión, “la principal avenida de ataques viene por WiFi, por lo que basta conectarse de alguna manera y poder atacarlo”. Ahora bien, explica, se trata de “un tema que todavía está en su infancia, porque son asuntos relativamente nuevos”.

Según el experto de Trend Micro, “no resulta fácil ni probable manipular los sistemas críticos del vehículo, pero no ocurre lo mismo con el acceso a los datos de estadísticas de motor, consumo, kilometraje o ubicación”.

Sancho recuerda que los fabricantes de ciertos vehículos de alta gama pueden contactar incluso por satélite, así como deshabilitarlo a distancia, como ocurre cuando se produce un robo. Así, en caso de robo, “el fabricante sabe dónde está el vehículo para detener el motor o cerrarlo. De esa forma, potencialmente, un atacante podría meterse de la misma manera y hacer la misma barrabasada con malas intenciones”.

Sabemos que, desde el instante de que los automóviles están conectados a Internet, el riesgo de sufrir una agresión por malware está en el aire. Esa amenaza aumenta cuanto mayor sea el grado de automatismo del vehículo y su dependencia del cloud de Internet. “Eso ocurre con Tesla, cuyos sistemas están completamente conectados a la nube de Internet. Eso tiene sentido, ya que permite enviar y recibir datos y poder actuar en base a ellos, pero también implica que existan sistemas críticos del vehículo, como la autoconducción, que responden a información que pueden recibir del exterior y donde alguien pudiera meterse en medio y suponer una amenaza”, añade Corrons.

Los sistemas de antivirus de cada marca formarán parte de los activos de cada modelo, igual que la velocidad punta, el sistema de frenado o las ofertas de ocio a bordo, por ejemplo.

Los automóviles que acuden al taller no solo pasan por el taller mecánico, sino también por la pantalla de los informáticos. Las líneas de código marcan las diferencias. Perciben cuando la presión de las ruedas no es la idónea y activan mecanismos automáticos para subsanarlo. También controlan las emisiones y el consumo, para ganar eficacia. Se adaptan a las circunstancias del tráfico y perciben cuando se sobrepasa la velocidad recomendada en la vía o el usuario se salta un semáforo.

Los analistas de Kaspersky Lab, compañía que desde hace años acompaña a la escudería Ferrari en la Fórmula 1, aseguran que “las aplicaciones para vehículos conectados siguen sin estar preparadas para resistir ataques de malware”. De esta forma, las mismas fuentes confían en “que los fabricantes automovilísticos sigan el mismo camino que han seguido los bancos y entidades financieras en sus aplicaciones, cuya seguridad ha mejorado tras sufrir numerosos ataques”.

Según añade Víctor Chebyshev, experto de seguridad de Kaspersky Lab, “por suerte, aún no hemos detectado ningún caso real de ataques contra las aplicaciones automovilísticas, lo que quiere decir que los fabricantes aún tienen tiempo de hacer las cosas bien. No sabemos cuánto tiempo pasará, pues los troyanos modernos son muy flexibles y las posibilidades de ataque son muchas”.