Si se puede o no hackear un auto depende mayormente del tipo de vehículo que tengas. Yo, por ejemplo, manejo un Honda Accord de 1998, y estoy casi seguro que poner en peligro su sistema informático sería casi imposible. Claro que seguro hay muchas formas de comprometer una computadora de un Honda Accord I (así lo llamo), pero un atacante necesitaría un acceso directo al mismo, lo que me hace pensar que, al final, mi auto es tan vulnerable como un Ford T de la década del ´20.
Sin embargo, muchos de ustedes probablemente manejen un auto más nuevo que el mío, con todo tipo de características geniales integradas, como sistemas de detección de colisiones y de navegación. La mayoría –si no todas- estas funciones están controladas por sistemas operativos a bordo, o máquinas industriales de control similares (y eso que la informatización de los automóviles apenas empezó).
Un par de años atrás, un investigador de seguridad experimentado de Kaspersky Lab llamado Vicente Díaz redactó un documento sobre las posibles consecuencias de forzar las computadoras y la tecnología móvil en los coches. En ese momento, recién algunas líneas de autos comenzaban a utilizar el control electrónico (ECU), que es –esencialmente- una computadora que controla partes, procesos o una serie de componentes dentro del carro.
En ese momento, Díaz expresó preocupación por una nueva camada de tecnologías, implementadas para satisfacer las diferentes necesidades de distintos tipos de vehículos sin verdaderos estándares entre los fabricantes. Cada compañía de automóviles prefiere su propio sistema operativo y cada sistema operativo puede contener un sinfín de vulnerabilidades, tanto conocidas como desconocidas. La pregunta es, si éstas se explotan, ¿cómo pueden afectar los sistemas de control electrónicos u otros equipos y censores?
La otra pregunta es, por supuesto, ¿cómo explotar estas vulnerabilidades? Como he dicho antes, hubo un tiempo en que la mayoría de estos malhechores requerían acceso físico. Ahora las cosas están cambiando. Los ataques a distancia, para todo tipo de dispositivos, así como las infecciones son cada vez más posibles, ya que los fabricantes de automóviles están tratando de encontrar nuevas formas de integrar el acceso a Internet y la interacción con el dispositivo móvil en los vehículos.
El potencial para vigilar, espiar cibernéticamente y seguir la ubicación en estos coches conectados es obviamente muy alto, pero no es realmente mucho mayor que el potencial de los dispositivos móviles. Díaz señala que el robo de automóviles podría ser un problema en los coches computarizados, en los cuales un atacante podría comprometer la ECU de un auto, desbloquearlo y encender su motor.
La pregunta más importante, sin embargo, sería: ¿puedo hackear tu coche y tomar el control completo sobre él? Bueno, hay algunas investigaciones de las Universidades de Wisconsin y San Diego en el que un puñado de investigadores se las ingenió para determinar precisamente eso. Su objetivo era ver lo que podían hacer después de poner en peligro el sistema del automóvil en lugar de explicar las formas en que es posible forzar estos sistemas. Al final, se encontraron con que algunos componentes podían manipularse de forma remota y que, en caso de accidente de tránsito, podían borrar todo lo que había sucedido. Esto fue hace casi tres años.
Para aquellos componentes que NO podían ser manipulados manualmente:
Podían prender continuamente el parabrisas, hacer sonar la bocina, soltar la bobina de arranque (para movilizar el coche), activar permanentemente la bocina, apagar todas las luces auxiliares, inutilizar los controles de bloqueo de ventanas y llave, tirar una continua corriente de líquido del limpiaparabrisas, y controlar la frecuencia de la bocina, la oscuridad y luz del techo, el brillo de los instrumentos, y las luces de freno. En el motor, los investigadores podían aumentar temporalmente el régimen del motor, rechinar el arranque (¿ya sabes el ruido que tu coche hace cuando se te olvida que está encendido e intentas iniciarlo nuevamente?) y aumentar el RPM también. Lo más alarmante es que podrían liberar todos los frenos o cada freno individual. Menos alarmante, pero sin duda fastidioso, es que encontraron maneras de aumentar el volumen de la radio, cambiar su sintonía y cambiar la información del monitor para el conductor, y manipular la bocina de alarma. Por último, pudieron falsificar las lecturas del velocímetro y encender y apagar el motor del coche a distancia. Recuerda, para estas funciones no hay control manual disponible.
Ahora, para los componentes que sí pueden manipularse manualmente, si bien, no estoy seguro que tan fácil puede hacerse esto, la idea es que podrían activar continuamente el relevador de bloqueo (que bloquea y desbloquea las puertas), desactivar las luces, apagar el limpiaparabrisas, iniciar el cigüeñal (una pieza del motor del automóvil), y desactivar la dirección asistida, cilindros y frenos. La razón para que haya cierto solapamiento entre las funciones que pueden y no pueden ser manipulables manualmente es que algunos de estos componentes del automóvil están regulados por diferentes ordenadores dentro del coche. En otras palabras (y sin entrar en especificaciones demasiado técnicas), los bloqueos son controlados tanto por el centro de información del conductor como por el módulo de control total (la computadora que regula las funciones del cuerpo de ese coche como luces y otros).
Como puedes ver, hay muchas formas de hackear un auto. Si estos investigadores, aún sin intentarlo, pudieron hackear dos autos nuevos en el laboratorio, puedes imaginarte los riesgos que corres.
No hay mucho que puedas hacer para protegerte más que estar al tanto de cualquier actualización que hagan los fabricantes de tu carro, tenga o no que ver con la computadora de mando de tu auto (ECU), estate atento a cualquier llamado que tenga que ver con estos sistemas. Puedes estar seguro de que tanto el costo de desarrollar exploits para automóviles es probablemente más alto. Las vulnerabilidades y exploits no caen del cielo. Los atacantes no están probando que funciona al azar, sino que la búsqueda de vulnerabilidades y el desarrollo de formas de explotarlas implican entornos de prueba, ensayos y extensa experimentación.