Cuando se trata de piratería de automóviles, Debería estar más preocupado por los traficantes poco fiables que por los piratas informáticos puntuales con intenciones delictivas.

Hollywood quiere hacernos creer que nuestros coches son extremadamente vulnerables a los piratas informáticos. Un pirata informático inicia sesión de forma remota en la computadora de a bordo de un automóvil en exhibición en una sala de exposición, provocando que el coche atravesase el cristal y saliera a la calle, justo a tiempo para bloquear una persecución de coches.

Y los investigadores han tenido cierto éxito al replicar tal escenario. En 2015, Se hicieron titulares en todo el mundo cuando los investigadores de seguridad pudieron piratear un Jeep Cherokee. Controlaron de forma remota todo, desde los limpiaparabrisas y el aire acondicionado hasta la capacidad del automóvil para acelerar. Al final, estrellaron el coche en un terraplén cercano, terminando con seguridad su experimento.

Si creyeras todo lo que se ha escrito desde entonces, uno pensaría que todos estamos conduciendo en accidentes esperando que sucedan. En cualquier momento, cualquier delincuente podría piratear su vehículo, Toma el control y mata a todos los que están dentro.

Si bien esta amenaza puede existir, nunca ha sucedido en el mundo real y está muy sobrevalorado.

Los automóviles ahora están controlados por computadoras

Los vehículos de motor de hoy son un complicado sistema de subsistemas eléctricos interconectados, donde las conexiones mecánicas tradicionales han sido reemplazadas por contrapartes eléctricas.

Toma el acelerador por ejemplo. Este simple dispositivo solía ser controlado por un cable físico conectado a una válvula en el motor. Hoy en día está controlado por un sistema drive-by-wire.

Bajo un sistema drive-by-wire, la posición de la válvula de mariposa está controlada por una computadora. Esta computadora recibe señales del acelerador y en consecuencia instruye a un pequeño motor conectado a la válvula de mariposa. Muchos de los beneficios de la ingeniería pasan desapercibidos para un consumidor típico, pero este sistema permite que un motor funcione con mayor suavidad.

Se sospechaba que una falla del sistema drive-by-wire era la causa de una aceleración involuntaria en los vehículos Toyota 2002. La falla resultó en al menos un accidente fatal, en 2017, ser resuelto fuera de la corte. Un análisis encargado por la Administración Nacional de Seguridad del Tráfico en las Carreteras de EE. UU. No pudo descartar un error de software, pero encontró defectos mecánicos significativos en los pedales.

Estos fueron, en última instancia, errores de calidad, no coches pirateados. Pero introduce un escenario interesante. ¿Y si alguien pudiera programar tu acelerador sin tu conocimiento?

Hackea la computadora y puedes controlar el auto

La columna vertebral del vehículo interconectado moderno de hoy es un protocolo llamado Red de área de controlador (bus CAN). La red se basa en el principio de una unidad de control maestra, con múltiples dispositivos esclavos.

Los dispositivos esclavos en nuestro automóvil pueden ser cualquier cosa, desde el interruptor en el interior de su puerta, a la claraboya, e incluso el volante. Estos dispositivos permiten entradas desde la unidad maestra. Por ejemplo, la unidad principal podría recibir una señal de un interruptor de puerta y, en base a esto, enviar una señal a la luz del techo para encenderla.

El problema es, si tiene acceso físico a la red, puede enviar y recibir señales a cualquier dispositivo conectado a ella.

Si bien necesita acceso físico para violar la red, esto es fácilmente accesible a través de un puerto de diagnóstico a bordo oculto fuera de la vista debajo del volante. Dispositivos como Bluetooth, celular y wifi, que se agregan a los automóviles, también puede proporcionar acceso, pero no tan fácil como simplemente enchufarlo.

Bluetooth, por ejemplo, solo tiene un rango limitado, y para acceder a un automóvil a través de Wi-Fi o celular, aún necesita la dirección IP del vehículo y acceso a la contraseña de Wi-Fi. El truco de Jeep mencionado anteriormente fue habilitado por contraseñas predeterminadas débiles elegidas por el fabricante.

Entra el mecánico malévolo

Los hackeos de coches remotos no son particularmente fáciles, pero eso no significa que esté bien dejarse llevar por una falsa sensación de seguridad.

El ataque Evil Maid es un término acuñado por la analista de seguridad Joanna Rutkowska. Es un ataque simple debido a la prevalencia de dispositivos que se dejan inseguros en las habitaciones de los hoteles de todo el mundo.

La premisa básica del ataque es la siguiente:

• el objetivo está de vacaciones o por negocios con uno o más dispositivos
• estos dispositivos se dejan desatendidos en la habitación del hotel del objetivo
• el objetivo asume que los dispositivos son seguros ya que son los únicos que tienen la llave de la habitación, pero luego entra la sirvienta
• mientras el objetivo está lejos, la criada le hace algo al dispositivo, como instalar malware o incluso abrir físicamente el dispositivo
• el objetivo no tiene idea y es violado.

Si miramos este ataque en el contexto del protocolo de bus CAN, rápidamente se hace evidente que el protocolo es más débil cuando se concede el acceso físico. Dicho acceso se otorga a partes de confianza cada vez que reparamos nuestros vehículos, cuando está fuera de nuestra vista. El mecánico es la "sirvienta" más probable.

Como parte de una buena rutina de mantenimiento, su mecánico conectará un dispositivo al puerto de diagnóstico a bordo (ODB) para asegurarse de que no haya códigos de diagnóstico o fallas para el vehículo que deban resolverse.

Pero, ¿Qué pasaría si un mecánico necesitara algún negocio adicional? Tal vez querían que regresara para el servicio con más frecuencia. ¿Podrían programar su sensor de freno electrónico para que se active antes mediante la manipulación de un algoritmo de control? Sí, y esto daría como resultado una menor vida útil de las pastillas de freno.

¿Quizás podrían modificar una de las muchas computadoras dentro de su vehículo para que registre más kilómetros de los que realmente se están haciendo? O si querían ocultar el hecho de que habían dado una vuelta con tu Ferrari, podrían programar la computadora para que retroceda el cuentakilómetros. Mucho más fácil que el método manual, que terminó tan mal en la película de 1986 Ferris Bueller's Day Off.

Todos estos son trucos viables, y su mecánico podría estar haciéndolo ahora mismo.

El caso de la verificación y la transparencia

Este no es un problema nuevo. No es diferente a un concesionario de autos usados ​​que usa un taladro para hacer retroceder el velocímetro y mostrar un menor kilometraje. Las nuevas tecnologías simplemente significan que los mismos trucos podrían implementarse de diferentes maneras.

Desafortunadamente, Es poco lo que se puede hacer para evitar que un mal mecánico haga esas cosas.

Los investigadores de seguridad se centran actualmente en mejorar la seguridad detrás del protocolo de bus CAN. La razón probable por la que no se ha informado de ningún incidente importante hasta la fecha es que el bus CAN se basa en su implementación oscura para la seguridad.

La verificación y la transparencia podrían ser una solución. Un sistema, propuesto por investigadores de Blackhat, implica un registro de auditoría que podría ayudar a la gente común a evaluar los riesgos de cualquier cambio no autorizado en su vehículo, y mejorar la robustez del sistema.

Hasta entonces, solo tendremos que seguir usando un mecánico de confianza.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.