Sobre la seguridad informática de la industria del automóvil

automovil

El mes pasado Javier Muñoz, jefe de área en ciberseguridad de la revista HackerCar, me pedía si podía responderle a unas cuantas preguntas de cara a ayudarle a documentar su TFG universitario, y con idea de una vez presentado, pueda servir para el medio en lo que vean oportuno.

No es la primera vez que me piden algo parecido, así que por supuesto le dije que sí.

Estas fueron mis respuestas.

¿Crees que la sociedad es consciente de toda la tecnología que lleva un coche? ¿Y de las vulnerabilidades en materia de ciberseguridad que implica?

Hombre, a ambas preguntas la respuesta es un no rotundo. Y ojo, que creo que tampoco es algo estrictamente negativo. Me explico.

Si queremos que la informática pase a ser de verdad una herramienta transversal (el objetivo que tiene, a fin de cuentas, cualquier revolución tecnológica) tiene que llegar el momento en el que el grueso de la sociedad ni siquiera necesite plantearse cómo funciona.

No digo que abracemos entonces la histórica estrategia del oscurantismo, sino que per se la informática ofrezca las garantías suficientes y sea tan «básica» en el corolario cultural de la sociedad, que solo aquellos que quieran dedicarse estrictamente a ella requieran tener que formarse en su core, liberando al grueso de la sociedad de esta carga.

Y si no fíjate la «magia» que hay en que tú cuando vas al baño de tu casa y le das al grifo del lavamanos, de ese tubo salga agua. Y eso ocurre indistintamente de si estás justo al lado de un lago, o en el quinto piso de Embajadores en medio de una ciudad como Madrid.

Por detrás hay toda una arquitectura tecnológica que permite efectivamente saltarse fuerzas tan presentes en nuestro mundo como es la gravedad (y el sentido común) para que tú nada más le das al grifo aquello suelte agua. Agua que lo mismo viene de varios cientos de kilómetros de distancia, y que para colmo ha sido sometida a decenas de procesos químicos para que algo que a priori es dañino para tu organismo ya no solo no sea dañino, sino que incluso te haga que vivas más años, al incluir compuestos como el yodo que han demostrado mejorar drásticamente la salud de millones de personas.

Pues esto mismo, tarde o temprano, pasará con la informática. Esta disciplina será parte de las tuberías de un complejo tecnológico muchísimo más eficiente. Y en ese escenario, la gente de la calle, aunque puedan o no indagar en su funcionamiento, ni siquiera necesitarán preocuparse ya que las garantías de calidad, escalabilidad y usabilidad estarán prácticamente aseguradas.

¿Qué se puede hackear de un coche?

Si nos atenemos a la definición exacta del hacking, todo.

Ten en cuenta que hackear no es más que entender tan bien el funcionamiento de algo que eres capaz de modificarlo para que haga otra cosa para la que a priori no estaba diseñada.

Y bajo este prisma, todos los mecánicos y aficionados al tuning llevan decenas de años hackeando vehículos.

Respecto a la parte informática, que entiendo es a lo que te refieres, realmente todo dispositivo informático es susceptible de ser hackeado. Que a fin de cuentas, no deja de ser un componente electrónico con una capa de 1s y 0s. Otra cosa es que ese hacking pueda ser utilizado para realizar maldades (estaríamos hablando de cibercrimen), y en efecto sea o no posible comprometer sistemas críticos del vehículo.

¿Cuáles son los elementos más vulnerables de un coche?

A ver, realmente los elementos más vulnerables son aquellos que están más expuestos a un usuario, sea o no malintencionado.

Y a nivel informático y en la mayoría de los casos estarían las redes inalámbricas (bluetooth, WiFi, RFID) y los puertos físicos de acceso, normalmente asociados a sistemas de entretenimiento a bordo y el cuadro de mando.

¿Qué tendrían que hacer los fabricantes para proteger sus coches?

La palabra mágica es «sandboxing«. Puesto que hay sistemas que por su propia naturaleza tienen que estar más expuestos que otros, la idea es que de estos sistemas más expuestos no sea sencillo llegar a sistemas más dañinos para el usuario, como podría ser el control de los frenos, el volante o el motor.

Y esto se consigue creando una arquitectura electrónica e informática cuyos módulos o bien funcionan de forma aislada, o bien requieren pasar una serie de capas de seguridad para acceder de los más expuestos hacia abajo.

Que claro, es fácil decirlo. Luego hay que implementarlo teniendo en cuenta las infinitas posibles tergiversaciones de uso y potenciales vulnerabilidades que puedan encontrar terceros.

¿Hay algo que un usuario normal pueda hacer para mejorar la ciberseguridad en su coche? ¿Qué consejos puede seguir?

Sí. Básicamente lo mejor que puedes hacer para mejorar la seguridad informática de tu vehículo es, primero (y hasta que lleguemos a ese estado de maduración del que hablaba antes) conocer cómo funcionan todos los sistemas informáticos de tu coche, entendiendo cuál es su uso y bajo qué escenarios opera.

Y a partir de entonces, llevar a cabo un uso responsable del mismo y de todos los dispositivos que asocies con el vehículo, siendo el smartphone el principal.

Así que si me preguntas qué pueden hacer, la respuesta más sencilla es que se preocupen primero por utilizar de forma adecuada ese dispositivo que tienen en el bolsillo.

El coche no deja de ser otro smartphone pero con ruedas :).

¿Cómo ves el futuro de la ciberseguridad en el mundo del automóvil? ¿Las vulnerabilidades irán a más por el aumento de la tecnología o esa nueva tecnología vendrá ya protegida?

Las vulnerabilidades seguirán apareciendo, y eso no significará que la industria esté haciendo un mal trabajo. De hecho seguramente sea justo lo contrario.

Tanto la ciberseguridad en América Latina (ES) como en España, y si me apuras, en buena parte del mundo desarrollado, ha avanzado enormemente en los últimos años. Pero no deja de ser un escenario nuevo, con sus propias limitaciones y particularidades, y por ende, difícil de abordar.

Y si no fíjate en el mundo del Internet de consumo.

Parece que estos últimos años han sido los peores a nivel de ataques informáticos. Y realmente, estamos a años luz en cuanto a seguridad y privacidad de lo que estábamos hace cinco o diez años.

Simplemente hay más gente utilizando nuevas tecnologías, y por ende, hay más negocio. Tanto para los buenos como para los malos.

¿Qué intenciones tienen los crackers que realizan ciberataques?

En general los crackers su principal motivación es económica. Quizás robar datos para revenderlos a terceros, quizás infectar el vehículo con algún malware para que éste sirva de Caballo de Troya a terceros dispositivos y/o explotar sus recursos informáticos de alguna manera lucrativa.

El verdadero riesgo, más allá del papel de los crackers, es de las agencias de inteligencia, activistas/terroristas o espionaje corporativo, cuyos fines pueden llegar a ser verdaderamente terroríficos. A fin de cuentas, si de verdad puedes llegar a controlar de forma remota un vehículo (o miles de ellos), podrías sembrar el caos en una zona y/o acabar con la vida de un objetivo específico.

Eso es lo que realmente me da más miedo. Y mira que la explotación de datos puede llegar a ser muy dañina. Pero está claro que más daño haría el poner en riesgo directamente la vida de las personas.

¿Qué papel juegan los hackers en el desarrollo de medidas de ciberseguridad?

Uno crítico. Son los encargados de identificar las vulnerables antes de que éstas se transformen en 0-days expotables.

Aquí el problema, y afortunadamente estamos cada vez más cerca de dejarlo atrás, es que todavía dentro de según qué industrias el papel del hacker se ve asociado a algo intrínsecamente negativo, cuando en la realidad debería ser justo lo contrario.

Que alguien haya dedicado su tiempo a explotar la seguridad de tu sistema y tenga la decencia de avisarte para que conozcas el problema antes de que alguien con fines maliciosos lo haga debería ya no solo no ser penalizado, sino justo lo contrario. Y en cambio, seguimos viendo cómo muchas empresas o bien hacen oídos sordos aún a estas advertencias, cuando no buscan la manera de denunciar a esta persona o colectivo por haberlo hecho.