El mes pasado Javier Muñoz, jefe de área en ciberseguridad de la revista HackerCar, me pedía si podía responderle a unas cuantas preguntas de cara a ayudarle a documentar su TFG universitario, y con idea de una vez presentado, pueda servir para el medio en lo que vean oportuno.
No es la primera vez que me piden algo parecido, así que por supuesto le dije que sí.
Estas fueron mis respuestas.
Índice de contenido
- ¿Crees que la sociedad es consciente de toda la tecnología que lleva un coche? ¿Y de las vulnerabilidades en materia de ciberseguridad que implica?
- ¿Qué se puede hackear de un coche?
- ¿Cuáles son los elementos más vulnerables de un coche?
- ¿Qué tendrían que hacer los fabricantes para proteger sus coches?
- ¿Hay algo que un usuario normal pueda hacer para mejorar la ciberseguridad en su coche? ¿Qué consejos puede seguir?
- ¿Cómo ves el futuro de la ciberseguridad en el mundo del automóvil? ¿Las vulnerabilidades irán a más por el aumento de la tecnología o esa nueva tecnología vendrá ya protegida?
- ¿Qué intenciones tienen los crackers que realizan ciberataques?
- ¿Qué papel juegan los hackers en el desarrollo de medidas de ciberseguridad?
¿Crees que la sociedad es consciente de toda la tecnología que lleva un coche? ¿Y de las vulnerabilidades en materia de ciberseguridad que implica?
Hombre, a ambas preguntas la respuesta es un no rotundo. Y ojo, que creo que tampoco es algo estrictamente negativo. Me explico.
Si queremos que la informática pase a ser de verdad una herramienta transversal (el objetivo que tiene, a fin de cuentas, cualquier revolución tecnológica) tiene que llegar el momento en el que el grueso de la sociedad ni siquiera necesite plantearse cómo funciona.
No digo que abracemos entonces la histórica estrategia del oscurantismo, sino que per se la informática ofrezca las garantías suficientes y sea tan «básica» en el corolario cultural de la sociedad, que solo aquellos que quieran dedicarse estrictamente a ella requieran tener que formarse en su core, liberando al grueso de la sociedad de esta carga.
Y si no fíjate la «magia» que hay en que tú cuando vas al baño de tu casa y le das al grifo del lavamanos, de ese tubo salga agua. Y eso ocurre indistintamente de si estás justo al lado de un lago, o en el quinto piso de Embajadores en medio de una ciudad como Madrid.
Por detrás hay toda una arquitectura tecnológica que permite efectivamente saltarse fuerzas tan presentes en nuestro mundo como es la gravedad (y el sentido común) para que tú nada más le das al grifo aquello suelte agua. Agua que lo mismo viene de varios cientos de kilómetros de distancia, y que para colmo ha sido sometida a decenas de procesos químicos para que algo que a priori es dañino para tu organismo ya no solo no sea dañino, sino que incluso te haga que vivas más años, al incluir compuestos como el yodo que han demostrado mejorar drásticamente la salud de millones de personas.
Pues esto mismo, tarde o temprano, pasará con la informática. Esta disciplina será parte de las tuberías de un complejo tecnológico muchísimo más eficiente. Y en ese escenario, la gente de la calle, aunque puedan o no indagar en su funcionamiento, ni siquiera necesitarán preocuparse ya que las garantías de calidad, escalabilidad y usabilidad estarán prácticamente aseguradas.
¿Qué se puede hackear de un coche?
Si nos atenemos a la definición exacta del hacking, todo.
Ten en cuenta que hackear no es más que entender tan bien el funcionamiento de algo que eres capaz de modificarlo para que haga otra cosa para la que a priori no estaba diseñada.
Y bajo este prisma, todos los mecánicos y aficionados al tuning llevan decenas de años hackeando vehículos.
Respecto a la parte informática, que entiendo es a lo que te refieres, realmente todo dispositivo informático es susceptible de ser hackeado. Que a fin de cuentas, no deja de ser un componente electrónico con una capa de 1s y 0s. Otra cosa es que ese hacking pueda ser utilizado para realizar maldades (estaríamos hablando de cibercrimen), y en efecto sea o no posible comprometer sistemas críticos del vehículo.
¿Cuáles son los elementos más vulnerables de un coche?
A ver, realmente los elementos más vulnerables son aquellos que están más expuestos a un usuario, sea o no malintencionado.
Y a nivel informático y en la mayoría de los casos estarían las redes inalámbricas (bluetooth, WiFi, RFID) y los puertos físicos de acceso, normalmente asociados a sistemas de entretenimiento a bordo y el cuadro de mando.
¿Qué tendrían que hacer los fabricantes para proteger sus coches?
La palabra mágica es «sandboxing«. Puesto que hay sistemas que por su propia naturaleza tienen que estar más expuestos que otros, la idea es que de estos sistemas más expuestos no sea sencillo llegar a sistemas más dañinos para el usuario, como podría ser el control de los frenos, el volante o el motor.
Y esto se consigue creando una arquitectura electrónica e informática cuyos módulos o bien funcionan de forma aislada, o bien requieren pasar una serie de capas de seguridad para acceder de los más expuestos hacia abajo.
Que claro, es fácil decirlo. Luego hay que implementarlo teniendo en cuenta las infinitas posibles tergiversaciones de uso y potenciales vulnerabilidades que puedan encontrar terceros.
¿Hay algo que un usuario normal pueda hacer para mejorar la ciberseguridad en su coche? ¿Qué consejos puede seguir?
Sí. Básicamente lo mejor que puedes hacer para mejorar la seguridad informática de tu vehículo es, primero (y hasta que lleguemos a ese estado de maduración del que hablaba antes) conocer cómo funcionan todos los sistemas informáticos de tu coche, entendiendo cuál es su uso y bajo qué escenarios opera.
Y a partir de entonces, llevar a cabo un uso responsable del mismo y de todos los dispositivos que asocies con el vehículo, siendo el smartphone el principal.
Así que si me preguntas qué pueden hacer, la respuesta más sencilla es que se preocupen primero por utilizar de forma adecuada ese dispositivo que tienen en el bolsillo.
El coche no deja de ser otro smartphone pero con ruedas :).
¿Cómo ves el futuro de la ciberseguridad en el mundo del automóvil? ¿Las vulnerabilidades irán a más por el aumento de la tecnología o esa nueva tecnología vendrá ya protegida?
Las vulnerabilidades seguirán apareciendo, y eso no significará que la industria esté haciendo un mal trabajo. De hecho seguramente sea justo lo contrario.
Tanto la ciberseguridad en América Latina (ES) como en España, y si me apuras, en buena parte del mundo desarrollado, ha avanzado enormemente en los últimos años. Pero no deja de ser un escenario nuevo, con sus propias limitaciones y particularidades, y por ende, difícil de abordar.
Y si no fíjate en el mundo del Internet de consumo.
Parece que estos últimos años han sido los peores a nivel de ataques informáticos. Y realmente, estamos a años luz en cuanto a seguridad y privacidad de lo que estábamos hace cinco o diez años.
Simplemente hay más gente utilizando nuevas tecnologías, y por ende, hay más negocio. Tanto para los buenos como para los malos.
¿Qué intenciones tienen los crackers que realizan ciberataques?
En general los crackers su principal motivación es económica. Quizás robar datos para revenderlos a terceros, quizás infectar el vehículo con algún malware para que éste sirva de Caballo de Troya a terceros dispositivos y/o explotar sus recursos informáticos de alguna manera lucrativa.
El verdadero riesgo, más allá del papel de los crackers, es de las agencias de inteligencia, activistas/terroristas o espionaje corporativo, cuyos fines pueden llegar a ser verdaderamente terroríficos. A fin de cuentas, si de verdad puedes llegar a controlar de forma remota un vehículo (o miles de ellos), podrías sembrar el caos en una zona y/o acabar con la vida de un objetivo específico.
Eso es lo que realmente me da más miedo. Y mira que la explotación de datos puede llegar a ser muy dañina. Pero está claro que más daño haría el poner en riesgo directamente la vida de las personas.
¿Qué papel juegan los hackers en el desarrollo de medidas de ciberseguridad?
Uno crítico. Son los encargados de identificar las vulnerables antes de que éstas se transformen en 0-days expotables.
Aquí el problema, y afortunadamente estamos cada vez más cerca de dejarlo atrás, es que todavía dentro de según qué industrias el papel del hacker se ve asociado a algo intrínsecamente negativo, cuando en la realidad debería ser justo lo contrario.
Que alguien haya dedicado su tiempo a explotar la seguridad de tu sistema y tenga la decencia de avisarte para que conozcas el problema antes de que alguien con fines maliciosos lo haga debería ya no solo no ser penalizado, sino justo lo contrario. Y en cambio, seguimos viendo cómo muchas empresas o bien hacen oídos sordos aún a estas advertencias, cuando no buscan la manera de denunciar a esta persona o colectivo por haberlo hecho.
El usuario nunca va a entender la seguridad, y eso es un problema. También es difícil hacer ciertas analogías, por que el paradigma en el que se engloba es totalmente distinto. Me explico, cuando hablamos de un grifo, aunque no entendamos en entramado de cañerías y depuraciones que hagan que pueda beber tranquilamente agua cuando abro el grifo, por poco que entendamos, sabemos que si no funciona lo que tenemos que hacer es, o bien repararlo nosotros o bien llamar al fontanero, y, en caso de que salga agua, podemos cortar el agua de paso. Y qui´zas eso es el conocimiento necesario.
Cuando abordamos un vehículo lo primero que tenemos que tener en cuenta que los fabricantes de coches han estado muy lejos de la tecnología, y, que las pocas tecnologías a las que han tenido que enfrentarse, o bien la han externalizado o ha sido una chapuza que llega con muchos años de retraso. Cambiar una mentalidad tan arraigada costará años, y, si en informática o tecnología de consumo, la seguridad le ha costado horrores implantarse, habrá que ver como se conjuga en un mercado como el de los coches.
Lo que si que tengo claro es que para que un riesgo sea asumible, debe poderse externalizar, es decir, que exista un seguro que lo cubra, y, que a poder ser, lleve años establecido en el mercado. Cuando un usuario quiere reportar un problema de seguridad, lo normal es que se encuentre solo ante el peligro y que sea totalmente ignorado. No obstante, si detrás hay una aseguradora, la cosa cambia, y seguro que es capaz de forzar a que se tenga en cuenta, o, incluso, forzar un cambio legislativo para que se obligue a la empresa a tenerlo en cuenta (aunque sea en la lista de cosas a ignorar). Actualmente tenemos seguros tanto de vehículos como de hogar, que pueden cubrir las necesidades de la mayor parte de la población o asumir los propios consumidores el riesgo por si mismos al no contratarlos (salvo que sean obligatorios por ley).
El mayor problema es la falta de conocimiento de los riesgos de que pueden hacer si nos hackean el coche, ya no solo por nuestra propia ignorancia, si no por que es necesario tener muchos más coches hackeables para que «los malos» consideren que deben invertir tiempo en hacer maldades, y, en ese momento se les despertará la creatividad, o aplicaran aquellas ideas locas que rondaban por su mente. Quizás pensamos que el mayor riesgo es que un hacker controle nuestro coche anulando la actividad humana y lo estampe contra otra persona, pero eso es por que hemos visto muchas películas y nos han dirigido nuestra mente a estas situaciones, que, aunque no digo que haya que ignorarla, si que no debe estar en el top de las preocupaciones. Lo mismo lo aplicaría a ataques terroristas, puesto que tengo la impresión de que tenemos una visión muy distorionada del terrorismo en la actualidad, cuando en realidad también tiene una afección escasa en nuestras vidas. Eso si, sin dudas que todo lo que sea monetizable será ejecutado.
Quien sabe si nos secuestrarán la radio y tengamos que pagar por recuperarla, o si nos soltará publicidad añadida para monetizar sus maldades. O si nos guiará por una ruta distinta con el objetivo que paremos en determinados sitios o repostemos en otros. O si simplemente almacenará todo lo que hagamos con algún oscuro propósito. Por que lo que es seguro es que la mayor parte de los hackeos que se lleven a cabo, el usuario puede no darse cuenta de que está siendo víctima de algún tipo de fraude.
Y por supuesto también habrá goteos de hackeos mediáticos con el objetivo de asustar a la población por un lado, mientras que por el otro se la presionara para que adopte las nuevas tecnologías las entienda o no
Por lo tanto, la única opción posible es entender todo lo posible acerca de la tecnología que hay detrás de los dispositivos que cada día utilizamos para podernos hacer una idea clara de los riesgos a los que nos vemos expuestos con el fin de poder, o bien combatirlos, o bien asumirlos
Oye, de todo lo dicho, que bien sabes que comparto, me quedo con la idea de un coche que te lleve por X sitios para que compres en un establecimiento y no en otro. E iría más lejos, que esto lo mismo acaba siendo monetizable con la idea de que recibas más impactos publicitarios sobre X negocios que otros.
Ya no solo con el cibercrimen, sino por la propia industria :D.
Obviamente eso tendría que ser monetizable de laguna forma. Pero oye, que la idea ya lleva años siendo aplicada en España, sin ir más lejos. Me di cuenta cuando hace unos años para ir de Zaragoza a Oviedo, que la mejor opción era pasar por Madrid. Después, cuando empezaron con el AVE también hemos visto un exceso e ilógico tránsito que pasa por Madrid (tiene más sentido el AVE Madrid Valencia o Barcelona Valencia, sobre todo si tenemos en cuenta que cada vez que voy a Valencia, la mitad de la gente va directamente desde Barcelona)
Este tipo de cosas, que desde Madrid se llevan haciendo toda la vida es algo que se hace a lo grande. Pero en la actualidad este tipo de cosas se hacen de forma mucho más sutil, de manera que al final parecen tonterías de conspiranoicos.
Pero vamos, que eso se me ha ocurrido mientras escribía, seguro que hay gente mucho más creativa que yo que sabrá sacarle partido a las debilidades de la tecnología aplicadas a un mercado formado de gente que no ha tocado la tecnología ni con un palo
Qué me vas a contar, que como bien sabes he estado viviendo un añito en Zaragoza. Manda huevos que tardemos menos yendo hasta Madrid, para luego volver a subir 😛