Este año, entró en vigencia una regulación de ONU, sobre ciberseguridad de vehículos, la cual obliga a los fabricantes a realizar varias evaluaciones de riesgo e informar sobre los intentos de intrusión para certificar presteza de la ciberseguridad.
En tu cochera o en la entrada para el auto, hay una máquina con más líneas de código que un avión moderno para pasajeros. Los autos y las camionetas de la actualidad que cuentan con un enlace a internet pueden pronosticar el clima, pagar la gasolina, encontrar un lugar de estacionamiento, descubrir una ruta para evitar los embotellamientos y sintonizar estaciones de radio de todo el mundo. Pronto, se hablarán entre ellos y te alertarán sobre las rebajas cuando pases por tus tiendas favoritas y, algún día, incluso se conducirán solos.
Aunque a los consumidores les puedan encantar las funciones, a los hackers les pueden fascinar todavía más. Y eso les está quitando el sueño a muchas personas en la industria automotriz, quienes están preocupadas de encontrar la forma de estar un paso adelante (o dos o tres) de quienes, a la postre, podrían sembrar el caos con los sistemas de transportes privados del mundo.
Al parecer, los hackers esperan con ansias la oportunidad de tomar el control de los vehículos. En 2019, la empresa de ciberseguridad automotriz Karamba Security publicó en línea una unidad falsa de control electrónico de vehículos. En menos de tres días, se realizaron 25.000 intentos de abuso y uno tuvo éxito.
En 2015, ocurrió la toma de control más famosa de un vehículo cuando unos investigadores de seguridad que estaban en una computadora portátil a 16 kilómetros de distancia provocaron que una Cherokee de Jeep perdiera potencia, cambiara la estación de radio, encendiera los limpiaparabrisas y pusiera el aire frío al máximo. La empresa matriz de Jeep, FCA, retiró 1,4 millones de vehículos para reparar la vulnerabilidad.
En la actualidad, los efectos de una intromisión podrían ir desde levemente molestos hasta catastróficos. Un hacker podría robar los datos personales de un conductor o escuchar conversaciones telefónicas a escondidas. Si se inserta código nefario en una de las unidades de control electrónico de un vehículo, este podría acelerarse, apagarse o perder potencia en los frenos repentinamente.
Se puede tomar el control de una flotilla de autos y conducirlos de manera errática, con lo cual aumentaría la posibilidad de un accidente considerable. Un vehículo eléctrico hackeado podría apagar la red eléctrica cuando se esté cargando. Incluso hay alteraciones imperceptibles para el ojo humano que pueden engañar a un auto para que confunda una señal de alto con una señal de límite de velocidad.
Y el año pasado, Consumer Watchdog, un grupo sin fines de lucro con sede en Santa Mónica, California, envió un mensaje a la pantalla de un Tesla que decía “¡Hackeado!”.
El problema va más allá de las intrusiones durante las demostraciones. Karamba ha trabajado con una empresa sudamericana de camiones que tiene una flotilla que fue hackeada para ocultarla de su sistema de rastreo, así los ladrones pudieron pasar desapercibidos al robar su cargamento. Además, una rápida búsqueda en internet revelará un montón de hackeos exitosos, pero benignos hasta ahora en contra de muchas de las principales marcas automotrices del mundo.
“Tomar el control de la dirección y la velocidad de un vehículo: eso le preocupa a todo el mundo en la industria”, comentó Ami Dotan, director ejecutivo de Karamba. “Y todo el mundo está consciente de que esto podría pasar”.
El reto podría ser todavía mayor que proteger las aerolíneas del mundo. Según un informe de McKinsey & Co. sobre ciberseguridad automotriz, los vehículos modernos emplean unas 150 unidades de control electrónico y unos 100 millones de líneas de código; para 2030, con la llegada de las funciones de conducción autónoma y la llamada comunicación de vehículo a vehículo, la cantidad de líneas de código podría triplicarse.
Si comparas eso con un avión moderno de pasajeros que tiene apenas 15 millones de líneas de código o un sistema operativo de computadora personal de consumo masivo que tiene unos 40 millones de líneas, las complejidades se vuelven evidentes.
Los fabricantes de vehículos comprenden que un hackeo exitoso que provoque muerte o destrucción podría ser un golpe muy duro. “El incentivo para evitar un gigantesco ataque malicioso es enorme”, opinó Gundbert Scherf, un socio de McKinsey y uno de los autores del informe.
Además, como los conductores creen que sus vehículos son el máximo capullo privado, incluso un ataque benigno, como un mensaje inesperado en la pantalla de infoentretenimiento del auto, podría provocar un problema significativo de relaciones públicas con mucha facilidad.
Las empresas de ciberseguridad deben proteger un vehículo de muchas maneras. Entre las amenazas se encuentran las tarjetas SIM portadoras de código malicioso, las falsas actualizaciones de software inalámbrico, los códigos enviados desde un teléfono inteligente al vehículo, así como los sensores y las cámaras de los vehículos que son engañadas con información incorrecta.
Además, el código malicioso puede ser introducido por medio de llaves electrónicas conectadas a un puerto de computadora en el vehículo, conocido de manera popular como puerto OBD-II, el cual es común encontrar debajo del volante y se usa para el diagnóstico y el rastreo del equipo.
Las flotillas de camiones corren todavía más riesgos, señaló Moshe Shlisel, director ejecutivo de GuardKnox Cyber Technologies. Toda una flotilla podría apagarse o, si no, estar en peligro de que se pida un rescate por ella, comentó Shlisel.
“Nuestra principal preocupación es el hackeo de una flotilla”, comentó Ronen Smoly, director de Argus Cyber Security, una división del proveedor de autopartes Continental. “Los hackers más peligrosos están en grupos bien financiados que trabajan durante largos periodos”.
Shlisel señaló: “Es cuestión de tiempo para que ocurra un hackeo de gran envergadura. El vehículo más seguro es un Modelo T de Ford, porque no está conectado a nada”.
Las actualizaciones inalámbricas pueden reparar vulnerabilidades en el software de los autos modernos, pero la industria busca proteger los sistemas electrónicos antes de que eso suceda, incluidos los sistemas más expuestos al mundo exterior, como los de audio, navegación y telefonía. Para protegerlos y a sistemas más delicados, se están tomando medidas de seguridad en cada uno de los pasos de la cadena de fabricación, desde el diseño del software hasta el del equipo físico.
En el mundo, los principales proveedores de software y equipo para fabricantes integran cortafuegos para garantizar que los elementos como los sistemas de infoentretenimiento no puedan pasar el código a los sistemas que regulan la velocidad, la dirección y otras funciones cruciales.
Se están diseñando unidades de control electrónico que envíen una alerta si de pronto un sistema intenta comunicarse con otro aunque nunca lo haya hecho. Además, están protegidos para frustrar cualquier intento que busque inyectar un nuevo código.
“Hay vidas humanas involucradas, por eso la ciberseguridad es nuestra principal prioridad”, comentó Kevin Tierney, el vicepresidente de ciberseguridad global de General Motors. La empresa, la cual cuenta con 90 ingenieros que trabajan tiempo completo en la ciberseguridad, practica la llamada “defensa en profundidad”: eliminar software innecesario y crear reglas que permitan la comunicación entre los sistemas de los vehículos solo cuando sea necesario.
No obstante, con el tiempo los hackers perseverantes encontrarán una manera de ingresar. Hasta la fecha, la ciberseguridad de los vehículos ha sido un revoltijo de esfuerzos, sin ninguna norma ni regulación internacionales. Sin embargo, eso está a punto de cambiar.
Este año, entró en vigencia una regulación de Naciones Unidas relacionada con la ciberseguridad de los vehículos, la cual obliga a los fabricantes a realizar varias evaluaciones de riesgo e informar sobre los intentos de intrusión para certificar la presteza de la ciberseguridad. La regulación tendrá efecto en todos los vehículos vendidos en Europa a partir de julio de 2024 y a partir de 2022 en Japón y Corea del Sur.
Aunque Estados Unidos no es una de las 54 naciones firmantes, es poco probable que los vehículos vendidos dentro del país sean fabricados para cumplir normas de ciberseguridad distintas de las que cumplen los autos que se venden en otras partes y viceversa.