¡Colega, han hackeado mi coche!

Hace ya muchos años que se dijo que la informática iba a estar presente en nuestras vidas. Y, por supuesto, así es. Pero mucho más allá de lo que podemos imaginar. No es solo que tengamos un ordenador en cada puesto de trabajo o en casi cada casa. O que estemos conectados a unas velocidades inimaginables hace un par de años. Es que no creo que quede un solo campo de nuestra vida sin que un ordenador tenga algo que ver.

Esta inmersión conlleva muchos problemas añadidos. La informática, así considerada “a lo bestia”, tiene dos componentes muy importantes: el hardware y el software. El hardware, como alguien dijo, es la parte que podemos golpear cuando falla. Y el software es la parte a la que únicamente podemos insultar si falla. El ordenador y los programas, la parte física y la parte volátil. Yo añadiría otra parte, y es la comunicación: nuestra conexión con el resto del mundo informático, con ese Matrix que tenemos alrededor y que nos rodea (tranquilos, aquí no os haré elegir entre pastillas rojas o azules).

Los pilares de la seguridad

La seguridad hoy en día envuelve a las tres partes. Aunque nos olvidemos del hardware, es muy importante también. Que un sistema falle por un componente defectuoso o mal empleado no suele preocupar a nadie, pero es tan importante como los demás. ¿Sabíais que hay ordenadores que no pueden utilizarse a determinadas altitudes? Sí, algo tan sencillo como un transistor puede estar diseñado para trabajar con unos rangos de presión atmosférica, y si se sobrepasan, podría fallar. No es broma, muchos fabricantes hacen versiones especiales de productos para mercados como el boliviano, en el que, por ejemplo, la ciudad de La Paz se encuentra rondando los 4000 metros de altitud.

Y qué vamos a contar del software, cuando cada diez minutos aparece una nueva vulnerabilidad que afecta a un montón de equipos. Desde este blog siempre hemos insistido en la necesidad de actualizar todos los componentes de software de nuestros equipos, desde los sistemas a las aplicaciones pasando por los drivers y “plug-in”, ya que ellos suelen ser los causantes de los problemas de seguridad más frecuentes.

coches

Seguridad en automóviles

Esta semana hemos recibido noticias de un interesante caso que mezcla la seguridad del hardware con la del software, que además incluye un componente que en un ordenador personal no suele darse con frecuencia. Toyota ha anunciado que se ha detectado un error en un componente del software que gobierna sus modelos Prius. Hasta aquí, nada extraño, pero es que ese error, además de afectar al rendimiento del vehículo, puede llegar a dañar componentes del hardware del sistema, con lo que la avería se vuelve aún más complicada. Ese hardware que se puede dañar es un componente electrónico, tranquilos, no es que se vaya a estropear el cárter o una biela.

La solución es muy sencilla: basta con llevar el coche al taller, se hace un “update” del software (vamos, algo así como aplicar un Service Pack) y el problema se soluciona. Aunque, digo yo, un coche tan evolucionado como el Prius, que haya que llevarlo al taller como cuando había que ajustar los platinos en los SEAT 124… Falta ese tercer componente en el sistema informático disfrazado de coche: la comunicación.

No creo que tarde mucho en aparecer un modelo (si no lo ha hecho ya) en el que cualquier elemento de software que tenga que ser modificado se haga mediante una conexión remota. Y en ese caso estaríamos ante un nuevo elemento en el que establecer un cierto nivel de seguridad igual que en un ordenador doméstico: las comunicaciones.

Y nos veríamos enfrentados a una serie de problemas de base, como la intimidad, la protección de nuestros derechos… Menuda se montó cuando una empresa  de sistemas GPS reconoció que estaba enviando información sobre la manera de conducir de sus usuarios a la central de datos. Afortunadamente, reconocieron que se empleaban esos datos para cálculos de rutas, no para multas por exceso de velocidad.

No, no es una distopía. Ya se está hablando de la obligatoriedad de sistemas de detención remota de coches cuando la policía lo necesite. ¿Solo la policía? Poco tardará en reventarse ese sistema, en dejarlo inutilizado y en que ciertos desalmados quieran parar nuestro coche simplemente por diversión.

Trasteando con los coches

¿Exagero? No, ni de broma. Hace ya mucho tiempo que los “tuneros” modifican las centralitas electrónicas de sus “bugas” para conseguir mayor rendimiento, y aquí sí a costa de dañar otros componentes. Algunos investigadores, no obstante, han ido “un poco más allá” con las modificaciones en los coches, tal y como pudimos comprobar en directo en la pasada edición de Defcon.

Ahora no se trata solo de ganar unos cuantos caballos de potencia o suministrar más gasolina al motor. El acceso a los sistemas de control de los automóviles implica muchas más cosas que, dependiendo de cómo se usen, pueden suponer un gran avance en la seguridad o en una peligrosa amenaza.

defcon61

No hay más que ver el revuelo que se ha armado cuando los investigadores españoles Alberto García Illera y Javier Vázquez-Vidal presentaron recientemente un dispositivo de bajo coste que permitía tomar el control de un automóvil en poco tiempo. Esto no nos pilló por sorpresa, ya que tuvimos la oportunidad de entrevistarlos durante la celebración de la Defcon, donde ya anunciaron que estaban desarrollando este dispositivo para presentarlo en los próximos meses, como así ha sido finalmente.

Aprovechar los sistemas electrónicos y centralitas que gobiernan un coche moderno en nuestro beneficio no es algo nuevo precisamente. No son pocos los casos de robos de automóviles de alta gama aprovechándose de errores en el cifrado de las llaves. Pero, a pesar de que muchos han entendido esta noticia únicamente como un riesgo para la seguridad y una especie de “barra libre” para los ladrones de coches, este tipo de investigaciones ayudan también a solucionar las vulnerabilidades que alguien pudiera explotar con malas intenciones.

Es precisamente gracias a estos hackers que las empresas conocen sus propios fallos y aprenden que deben mejorar. Incluso se puede aplicar lo descubierto para que, por ejemplo, agentes de tráfico analicen los restos de un vehículo siniestrado y, gracias a la información recuperada de las distintas unidades de control, averiguar si el accidente se debió a un exceso de velocidad o a un mal funcionamiento de alguno de los sistemas del vehículo.

La seguridad ya no es solo un ordenador. Son muchas más cosas en las que está la informática presente en nuestra vida, y estamos perdiendo de vista que cualquiera de los tres componentes (hard, soft y comunicaciones) son vulnerables y debemos asegurarlos. Existen riesgos para todo el conjunto, y lo mejor de todo es que existen soluciones también. Y la primera, actualización constante de cada elemento. ¿Tienes un Prius? Actualízalo. ¿Tienes una SmartTv? Actualízala. Porque el PC lo actualizas…, ¿o no?

Fernando de la Cuadra

Josep Albors

Enlaces relacionados

Hackeo de automóviles al estilo español

Crónica desde la Defcon: Día 1

Seguridad informática en automóviles

El SEA roba y filtra los datos de 1 millón de usuarios de Forbes