Conexión limitada y SO aislados como estrategia de seguridad automovilística

coche conectado

En un artículo de principios de año profundizábamos en el “factor riesgo” de los sistemas digitales. Como explicábamos con la metáfora del tren, la conectividad de Internet ofrece a día de hoy un canal de inmensas posibilidades. Entre ellas, el que un único ladrón pueda robar a varios miles de “pasajeros” que viajan en ese “vagón” sin ni siquiera estar delante de ellos.

Un sistema conectado es, a fin de cuentas, un sistema susceptible a ser atacado de forma automatizable (al atacante le basta con encontrar solo una vulnerabilidad que afecte a una víctima en particular para comprometer a todas las demás), capaz de delegarse (que el ladrón final no sea el creador de la pieza de software), escalable masivamente (un mismo ataque compromete la seguridad de miles y miles de potenciales víctimas) y omnipresente (el atacante no necesita personalizarse frente a cada una de las víctimas para realizarlo).

Lo que hace que la mayoría del riesgo tecnológico se parezca más al riesgo asociado por elementos globales históricamente asociados a catástrofes medioambientales (terremotos, huracanes…), sino fuera porque para colmo son arbitrarios (hay intencionalidad en el ataque) y evolutivos (aprenden de las medidas de contingencia que las potenciales víctimas puedan aplicar para defenderse de ellos).

Seis elementos que hacen del riesgo digital una tipología de riesgo verdaderamente peligrosa, habida cuenta de que la mayoría de sistemas de defensa están enfocados a uno u otro escenario (riesgo local o riesgo global), desprotegiendo la otra rama.

La industria automovilística se encuentra a día de hoy justo a las puertas de dar el paso a la muy necesaria digitalización del sector. Una industria fuertemente apegada a factores de riesgo local, con un exponente tecnológico claro, que de pronto, se debe enfrentar a los retos de un entorno conectado, y por ende, de un riesgo global amplificado.

Para colmo, hablamos de “dispositivos” capaces de matar a personas, y de una tendencia a que sean éstos quienes controlen la conducción (ergo, aún mayor responsabilidad) en detrimento del más que demostrado riesgo humano (en la mayoría de países, el accidente automovilístico sigue siendo una de las principales causas de defunción).

Casos como el del Jeep Cherokee (EN), en el que unos investigadores demostraron cómo de forma remota podían llegar a controlar sistemas tan críticos como el que gestiona el uso de los frenos del automóvil, serán cada vez más comunes. Y su impacto es escalable, puesto que como ya hemos comentado, una misma vulnerabilidad aplica a todos los modelos de una marca, que puede ser atacada masivamente de forma remota poniendo en peligro de muerte a miles de personas.

Por otro lado, fabricantes como BMW y Audi plantean que sus coches sean capaces de comunicarse entre si (EN) y entre el mobiliario callejero (EN/semáforos, señales…), generando una suerte de red de comunicación de IoT que minimice los riesgos de accidente.

(Ver en Youtube (EN))

Algo a todas luces positivo, pero que entraña también su riesgo.

Y aquí surge el problema.

¿Cómo llevar los beneficios de la conectividad controlando lo máximo posible el riesgo asociado a ella?

Hay principalmente dos acercamientos que me parecen interesantes.

El primero lo veríamos ejemplificado en los Tesla actuales. A falta de que de verdad podamos considerar un Tesla un vehículo 100% autónomo, lo cierto es que su sistema de actualizaciones les ha permitido, conforme la tecnología estaba lo suficientemente pulida, extender una suerte de autonomía controlada en parte de su parque móvil, siendo pioneros de su sector.

Y descontando esto, hablamos de unos vehículos que ofrecen no poca información recopilada mediante conectividad.

Bajo este prisma, la compañía de Elon Musk optó en su momento por una seguridad basada en laminar su arquitectura de hardware en diferentes niveles, de forma que los elementos críticos de la conducción no son (en principio) accesibles desde fuera.

TH2

Como explicaban el año pasado en un artículo de investigación (EN), los sistemas críticos del Tesla se distribuyen en diferentes SO, y cuentan al menos con una capa intermedia que podría servir de cortafuegos a la hora de defenderse de un ataque remoto.

Esto minimiza el impacto de un potencial ataque, puesto que o bien éste es capaz de adaptarse a varios entornos operativos distintos (algo realmente complicado), o bien éste solo será capaz de llegar a una parte del pastel, insuficiente para causar daños críticos.

Por su parte, Waymo, la empresa de conducción autónoma de Alphabet (Google), aboga por desarrollar sistemas que apenas dependan de la conectividad (EN/suscripción), al poder operar todos los sistemas críticos con el procesamiento y la información obtenida a nivel local.

La estrategia seguida por Google es la misma que en su momento comenté como acierto por parte de Apple a la hora de gestionar el TouchID y la inteligencia de su aplicación Fotos.

Hablamos de dotar al dispositivo de las herramientas necesarias para que sea él mismo, sin necesidad de utilizar servicios en la nube, capaz de analizar y tomar las decisiones oportunas para el buen desempeño de sus labores, y establecer una línea de comunicación exterior solo cuando de verdad precisa hacerlo.

Esto, en esencia, permite que el sistema esté aislado la mayor parte del tiempo, estableciendo un sistema de comunicación exterior no continuo y, por ende, muchísimo más controlable. Por supuesto, también entraña retos, a sabiendas que es necesario optimizar mejor la tecnología local para que ella sola sea capaz de analizar el mundo que le rodea (formas cercanas que podrían ser peatones, mobiliario u otros coches; distancia entre los coches de alrededor; eventuales accidentes y obras…).

El campo de batalla del automovilismo que nos toca vivir

Son, como decía, dos acercamientos distintos al mismo problema. Provenientes ambos de dos empresas digitales, y ajenos, por tanto, a esa industria tan hermética como es la automovilística.

Una industria que sigue anclada en la hegemonía de los motores de combustión, a los que si eso les meten el apelativo “electrificado” para limpiarse las manos. Una industria que está abrazando con entusiasmo el inestimable valor de la conectividad, obviando de paso los riesgos que ello conlleva.

El escenario final, en el momento en el que en nuestras carreteras solo haya vehículos autónomos y el humano pase de ser quien controla a ser quien delega, será sin lugar a dudas un escenario mucho más halagüeño a nuestros intereses.

Pero mientras tengan que cohabitar en carretera humanos con sistemas autónomos. Mientras quienes dirijan la industria automovilística sean aquellos pagados por las petroleras, ajenos al riesgo digital, los problemas se acentuarán.

Y no hablamos de “simples” robos de identidad, sino de víctimas mortales. De accidentes que, Dios no lo quiera, involucrarán a miles de personas. No es una broma, es algo muy serio. Y temo que no estemos lejos vivirlo en nuestras propias carnes.