Los ciberataques ya no se limitan a redes informáticas, ordenadores y dispositivos móviles. En 2015 dos especialistas en ciberseguridad, Charlie Miller y Chris Valasek, pusieron en práctica técnicas de hackeo para demostrar que era posible piratear los sistemas eléctricos de un Jeep Cherokee. Lo hicieron sin necesidad de acceso físico al vehículo, que controlaron y detuvieron en medio de un trayecto. Pudieron, incluso, desactivar los frenos cuando el coche circulaba a baja velocidad. La demostración llevó a Chrysler a anunciar la retirada de 1,4 millones de vehículos.
Un año después, los mismos especialistas pusieron a prueba a la misma marca de automóviles con un nuevo ataque: en lugar de centrarse en un punto de apoyo inalámbrico, en esa ocasión tuvieron que evitar el conjunto de defensas reforzadas en las redes wireless de los vehículos. Así que probaron nuevas técnicas y centraron sus esfuerzos en los componentes de la red CAN Bus (el protocolo de comunicaciones). Después de comprometer una de las unidades de control electrónico (o ECU) de la red y utilizarla para falsificar mensajes a la dirección o los frenos del coche, también atacaron otra ECU que envía comandos legítimos a esos componentes, ya que ésta podría anular las ordenes maliciosas y evitar el ataque.
En un principio el modo de diagnóstico que utilizaron Miller y Valasek para desactivar los frenos del Jeep no funcionaba a una velocidad superior a los ocho kilómetros por hora. Asimismo, la función de asistencia automática para aparcar que manipularon para girar el volante sólo era posible cuando el vehículo iba marcha atrás y circulase a bajas velocidades. Pero enviando mensajes cuidadosamente elaborados a esa red CAN, fueron capaces de realizar trucos aún más peligrosos, como causar una aceleración involuntaria y modificar los frenos del coche o girar el volante del vehículo a cualquier velocidad.
Por otro lado, en un ataque separado que no requiere de tales manipulaciones del ECU bootrom, también descubrieron que podían encender y alterar los ajustes de control de crucero del Jeep, permitiéndoles acelerar el vehículo. Reconocieron que, como con cualquier control de crucero, en ese caso el conductor podría simplemente pisar el freno para desactivar esa aceleración involuntaria, si se dan cuenta de que está sucediendo. En el caso de la dirección, un conductor concentrado con las dos manos en el volante podría dominar el ataque, pero si cogiese al piloto por sorpresa podría causar daños.
A medida que las técnicas de piratería se hacen más sofisticadas y a medida que los sistemas de los vehículos se integran más en la Internet de las Cosas, crecerán los vectores de ataques que los cibercriminales intentan explotar para obtener más y más control sobre las funciones de un vehículo. Pero existen algunas formas de protegerse.
Medidas de seguridad para proteger tu vehículo
- Mantén el software actualizado y ten cuidado con los dispositivos de terceros que se conectan a tu vehículo.
- Permite el acceso al vehículo sólo a gente en la que confías.
- Cuando no estés al volante, asegúrate de apagar todas las comunicaciones inalámbricas y la conectividad de la red.
- Utiliza un software antivirus para escanear los dispositivos USB antes de usarlos e invierta en algún equipo de defensa.