Andy Greenberg manejaba por las calles de St. Louis, en Estados Unidos, cuando su Jeep Cherokee comenzó repentinamente a expulsar aire helado a su máxima potencia a través del sistema de climatización de los asientos. Luego, la radio se cambió como por arte de magia a una estación de hip-hop y el volumen subió al nivel más alto. “Intenté apagarla, pero fue inútil. Después los parabrisas se activaron y el fluido de limpieza saltó al vidrio”, recuerda Greenberg en un artículo publicado en julio por la revista Wired.

El auto no había cobrado conciencia propia ni tampoco era víctima de un desperfecto generalizado. Los responsables de este incidente eran los hackers Charlie Miller y Chris Valasek, cuyos sonrientes rostros aparecieron en la pantalla digital del tablero del Jeep. Ambos habían convencido a Greenberg, redactor de Wired, para que actuara como conductor en el test de un software para hackeo de vehículos que ambos llevaban desarrollando durante un año y que, junto a otros programas similares, está poniendo en alerta a toda la industria automotriz.

Aunque el experimento se hizo con un Cherokee y sólo a manera de prueba, el código de Miller y Valasek permitiría a un atacante malicioso asumir el control remoto de miles de otros modelos, mediante la intercepción de la conexión inalámbrica a internet que opera en múltiples vehículos y que los convierte en verdaderos “celulares con ruedas”. Hoy numerosos autos tienen enlaces a redes celulares y conexiones tipo wifi: por ejemplo, y tal como señala una investigación de The Washington Post publicada en julio, los vehículos tipo Jeep, Dodge y Chrysler -propiedad de Fiat Chrysler Automobiles- tienen un sistema de entretenimiento y navegación llamado Uconnect que da acceso a servicios que pueden ser vulnerados como el de radio satelital. A eso hay que sumarle otros puntos de acceso que los expertos llaman “superficies de ataque”, como los sistemas de apertura de puertas y encendido con llaves electrónicas, conexiones vía Bluetooth e, incluso, lo sistemas de monitoreo inalámbrico para la presión de los neumáticos.

Según Greenberg, el software creado por Miller -investigador de Twitter y ex analista de la Agencia Nacional de Seguridad de Estados Unidos  (NSA)- y Valasek -director de investigación de seguridad automovilística en la firma IOActive- es la pesadilla de un fabricante de autos: “Permite enviar comandos a través del sistema de entretenimiento, afectando las funciones electrónicas e incluso el volante, frenos y transmisión, todo desde un notebook que podría estar al otro lado del país”. Estos hackers no le advirtieron al redactor qué era exactamente lo que harían, pero tras activar el parabrisas lograron que el acelerador del Jeep dejara de funcionar: “Apreté frenéticamente el pedal, pero el auto perdió la mitad de su velocidad y luego se detuvo. Iba por un paso sobrenivel y no tenía cómo salir. El experimento había dejado de ser divertido”.

Nadie salió herido pero Fiat Chrysler Automobiles criticó duramente a los investigadores por divulgar el test. “La compañía no condona bajo ninguna circunstancia, ni tampoco cree que sea apropiada, la liberación de información que podría alentar o permitir que hackers obtengan acceso no autorizado e ilegal a los sistemas de un vehículo”, afirmó en un comunicado. Pero Miller y Valasek explicaron que el fin fue hacer un llamado de atención a la industria automotriz sobre un riesgo que ha ignorado por mucho tiempo.

De hecho, no dieron a conocer la ruta específica por la cual se infiltraron al Jeep para evitar que hackers inescrupulosos intenten lo mismo. Sólo revelaron un video y algunos detalles en la conferencia de seguridad Black Hat que se realizó en Estados Unidos a comienzos de agosto. Para los especialistas en el área, los hackeos malintencionados a autos y otros aparatos  conectados a la llamada “internet de las cosas”, como los populares drones, llegarán tarde o temprano tal como ocurrió hace años con celulares y computadores: sólo basta que alguien tenga la motivación para realizarlos.

Después de todo, no es necesario chocar un auto para causar problemas. Un hacker podría ingresar al sistema de navegación de un vehículo para rastrear a su pareja y encender el micrófono interno para grabar sus conversaciones. O podría enviar un código malicioso por internet para desactivar el motor del auto y exigir un “rescate” para revivirlo.

“Espero que nunca veamos estos ataques, pero son muy posibles. Intentamos solucionar este problema antes de que se vuelva un asunto serio. Los fabricantes dicen que están preocupados por la ciberseguridad de sus vehículos, pero no comparten ninguna información sobre lo que hacen en esta materia. La única opción es creerles o hacer lo que nosotros hicimos, es decir, comprar un auto, averiguar cómo funciona y demostrar que no están haciendo un muy buen trabajo”, explica Miller. Más allá de las críticas, lo cierto es que el fabricante de Jeep acusó el golpe: Fiat Chrysler Automobiles anunció hace unos días que enviará un pendrive USB con un software de actualización a los dueños de 1,4 millones de vehículos que estarían en riesgo de ser vulnerados.

Una amenaza que crece

El experimento descrito por Wired tuvo una alta notoriedad y apareció en notas de cadenas televisivas como CNN, pero no es el único. A mediados de agosto, investigadores de la Universidad de California en San Diego hackearon un Corvette de Chevrolet. La técnica, que podría ser aplicada a miles de vehículos, aprovechó la vulnerabilidad de un pequeño dispositivo que se inserta en el tablero de autos y camiones y que es usado por aseguradoras y flotas de transporte para monitorear a distancia la ubicación y velocidad de los vehículos. Al enviar varios mensajes de texto al dispositivo, los expertos lograron activar comandos para operar remotamente sus parabrisas y frenos.

Una prueba similar realizaron Kevin Mahaffey, jefe de tecnología de la empresa de seguridad Lookout, y Marc Rogers, investigador de la compañía Cloudflare. En la conferencia Def Con de inicios de agosto, se infiltraron en un auto eléctrico Tesla e hicieron que se detuviera, aunque para ello tuvieron que conectar físicamente un notebook al computador del vehículo.

Charlie Miller indica que por ahora es difícil atacar vehículos y que no es algo que un adolescente aburrido pueda hacer en un fin de semana… aunque eso podría cambiar: “Somos expertos y trabajamos un año para lograrlo. No tengo claro cuáles son actualmente las mayores vulnerabilidades en los autos, pero sospecho que en el futuro se les añadirán navegadores webs y tiendas de aplicaciones. Esos dos servicios serán muy susceptibles a ataques”.

Si bien todas las pruebas fueron realizadas por especialistas, ya han ocurrido incidentes que muestran lo que podría pasar si estas técnicas fueran aprovechadas de forma inescrupulosa. Uno de ellos se produjo en 2012, cuando un Chevy Camaro robado de una gasolinera en Illinois, Estados Unidos, y equipado con el sistema de seguridad de OnStar -subsidiaria de General Motors- fue detenido remotamente por esta empresa, acabando con una persecución de alta velocidad.

Además, en 2010 casi cien clientes de la tienda Texas Auto Center se quejaron de que las bocinas de sus autos se activaban en plena noche y que a la mañana siguiente era imposible hacerlos andar. Se sospechó de un mal funcionamiento de un nuevo dispositivo que se conectaba a internet y que se había instalado en los tableros de los autos, con el fin de bloquear algunas funciones a bordo cuando había alguna cuota impaga. Pero la realidad era otra, ya que el aparato y la base de datos de la empresa habían sido hackeados por un ex empleado que incluso reemplazó nombres de clientes por los de personajes ficticios y los de los autos más económicos por los de modelos de lujo. “Mickey Mouse aparecía manejando un Lamborghini”, dijo Martin Gracia, jefe de la tienda, a The Washington Post.

Esta amenaza potencial ha crecido gracias a la propagación de la “internet de las cosas”. Cuando Texas Auto Center fue hackeada existían unos dos mil millones de aparatos conectados a internet, pero según un análisis de la consultora Gartner, esa cifra llegará a 25 mil millones en 2020, de los cuales 250 millones corresponderán a autos. A los vehículos habrá que sumarles dispositivos como motores de aviones, marcapasos y los populares drones. En 2013 el experto estadounidense en seguridad Samy Kamkar publicó en YouTube un video de su software SkyJack, con el cual podía convertir un dron básico en un aparato que detectaba y asumía el control de otros vehículos similares en el área, creando una flotilla aérea que se podía manejar desde un celular. El peligro es evidente si se considera un video publicado hace un par de meses en YouTube donde aparecía un dron que portaba un arma automática.

El mismo Kamkar investigó otras facetas de este mundo interconectado y descubrió que, aunque existen varios fabricantes automotrices, la mayoría compra sus componentes a los mismos  mayoristas. Por eso, prácticamente todos los sistemas de cerradura usan las mismas frecuencias de radio y al descifrarlas sería posible abrir las puertas de casi cualquier auto.

“Es muy importante dar a conocer lo que pasa con la ‘internet de las cosas’. El problema es que estamos conectando demasiados dispositivos a internet, donde existen masivas vulnerabilidades de seguridad. En el pasado esto no era un problema porque las únicas personas que podían manipular los mecanismos de un auto debían tener acceso físico, pero ahora que estos mismos sistemas se conectan a la red sus vulnerabilidades son potencialmente explotables por cualquiera”, explica Kamkar.

Una posible solución en el caso de los autos, dice el experto, sería implementar actualizaciones remotas por vía aérea: “Así sería más fácil que los fabricantes distribuyeran parches a los vehículos sin que el usuario mismo tenga que realizar el procedimiento, tal como ocurre con los computadores”. La industria ya tomó nota del problema, por lo que la Asociación Global de Fabricantes de Autos y la Alianza de Fabricantes de Automóviles crearán un grupo que empezará a funcionar a fines de 2015 y que servirá como un eje para compartir información sobre vulnerabilidades en los vehículos.