El carro, nuevo objetivo de los ciberataques

startled female driving the car and screaming

startled female driving the car and screaming

Chrysler ocultó un fallo de seguridad de sus Jeep durante 18 meses

Rosa Jiménez Cano

Andy Greenberg, un periodista de la revista Wired, estaba advertido. Sabía que durante ese viaje algo sucedería. Tenía indicaciones de, ante todo, no perder la calma. Iba a 122 kilómetros por hora en la autovía, al volante de su Jeep, la marca de coches todoterreno de Chrysler, cuando el aire acondicionado se puso al máximo. Sin tocar nada. De pronto, la música cambió. Sonó un inusual hip hop. En la pantalla del salpicadero aparecieron fotos… Greenberg fue el primero en probar en sus propias carnes el logro de Charlie Miller y Chris Valasek, dos expertos en seguridad que fueron capaces de entrar en el sistema, a 16 kilómetros de distancia.

Su intención era clara, hacer realidad lo que se comentaba en los foros de seguridad: “La gente ha teorizado durante mucho tiempo sobre la posibilidad de que haya ataques remotos, así que lo hacemos para que no haya áreas grises desde la perspectiva de los fabricantes sobre lo que es posible hacer. Queremos que sepan la realidad, que no se especule más”, explicó.

Lo grave no es que se pueda controlar el coche a distancia sino el tiempo de respuesta de la compañía. “Está claro que no se lo toman en serio”, denuncia Miller, “avisamos hace 18 meses del fallo, pero no reaccionaron hasta que hicimos la demostración”. Así es, Chrysler ha pedido a los dueños de 1,4 millones de unidades de la firma que lleven el coche a revisión para solventarlo.

Los dos hackers dieron con una rendija por la que colarse. El sistema multimedia, que no es del propio fabricante, sino de un tercero que después implementan, fue el agujero que tenían que explotar. Decidieron hacer una demostración real, pero segura. Sin embargo, si quisieran, podrían haber girado el volante, acelerado o frenado. A través del GPS podrían haber alterado la ruta.

hacker_pirata_informatico_ordenadorEn Blackhat cualquier procedimiento se debate. La fórmula utilizada para resolverlo, también fue objeto de críticas pues consideran que se podría haber hecho a través de Internet: “Así demostraban que tienen el control remoto, pero también que llega a todos los coches. Hay una parte de imagen muy importante en obligar a pasar por el taller”.

A continuación surge una duda, si hay forma de protegerse. “No. Al menos, no de manera consciente. No se trata de poner de tu parte como consumidor, o seguir consejos. Es labor de la industria. Esperamos que con esta demostración

Llama la atención que, después de lo sucedido, ni la propia firma ni otros fabricantes les hayan llamado. “No nos lo explicamos. Tampoco queremos hacer negocio con ello, está claro. Tenemos nuestro trabajo. Esto es una aportación a la sociedad, pero si ellos miran para otro lado”… se lamentan completando la respuesta entre ambos.

Si han probado con un Jeep, ¿por qué no con un Tesla? La respuesta no fue demasiado esperanzadora: “Nos sorprende mucho que, un coche cuyo corazón es tecnología, que se vende de manera diferente, que no tiene talleres… En fin, que conocemos poco, no nos contestase a un correo hace más de un año. Insistimos y nos dijeron que no habían oído nunca antes de nosotros. Nuestra petición formal consiste en que nos dejen ponerlo a prueba”, explicó Valasek, al tiempo que añadió que estaban dispuestos a hacer el estudio de forma confidencial.

A esta inusual pareja de investigadores les sorprende que ni aseguradoras ni fabricantes cuenten con ellos. “Será que es muy caro dejarnos los coches para jugar”, bromearon.

Ambos expertos insisten en que no se trata de romper cosas por romperlas, sino con el fin de crear conciencia y que se fabriquen mejor los aparatos que usaremos en el futuro. “Si mi tostadora se conecta a Internet, o mi frigorífico, no me importa si lo hackean. Realmente, poco puede hacer. Ahora bien, si es un coche, es mucho lo que está en juego, es daño físico propio y de terceros. No se puede tomar a la ligera”, subraya Valasek.

Lo más curioso del caso es que ambos han dedicado su tiempo libre a esta hazaña. Miler trabaja en Twitter, dentro del equipo de seguridad, antes estuvo en la polémica NSA, y Valasek, tiene su propia firma, IO Labs. “Nos juntábamos después del trabajo y los fines de semana. Después del esfuerzo, solo queremos vacaciones y estar con los nuestros”, confesaban mientras daban un trago largo de su cerveza al mismo tiempo. Algunos asistentes les pidieron que les firmasen la acreditación. Otros, una foto juntos. Más de uno estaba pensando en ir al desguace al volver a casa y reparar el primer coche que le regaló su abuelo. No tenía dirección asistida, ni aire acondicionado. Al menos, no era hackeable.

Tomado de El País

 
Top