Lecciones de #WannaCry para los coches conectados
Un grupo de criminales consiguieron ayer poner de los nervios a los administradores de sistemas de tres continentes. Es algo más que un hito en (in)seguridad informática, es un aviso para un futuro inmediato en los que los coches están también expuestos a esos problemas.
7 min. lectura
Publicado: 13/05/2017 19:00
Coche bloqueado por un cepo mecánico - Fotografía: Daniel Lobo (Flickr) CC BY
Ayer se produjo el -se dice- mayor ataque informático global de ransomware. Bajo este término se esconde una definición terrorífica: el bloqueo de la información personal que solo se puede recuperar pagando un rescate, ya que los archivos quedan cifrados de forma fuerte y prácticamente irreversible. Hoy día no es un problema para la automoción, pero puede serlo en el futuro.
Más de 55.000 incidencias y más de 70 países afectados, ese es el balance preliminar
Se han visto afectadas empresas privadas de gran envergadura, como Telefónica, Gas Natural o Renault, así como grandes entidades públicas, como el NHS británico (equivale al sistema público de salud español). El software malicioso se llama WannaCry, algo así como "me dan ganas de llorar".
Los ordenadores afectados se infectaron aprovechando una vulnerabilidad del sistema operativo Windows que ya era conocida y tenía solución. Basta un ordenador infectado, el problema se propaga rápidamente por redes locales. Los archivos personales se empiezan a cifrar, siendo virtualmente inaccesibles. Los usuarios reciben un mensaje en el que se les exige un rescate a cambio de recuperar los archivos, y de no ceder al chantaje, se exponen a una pérdida total de datos.
Con la llegada de los coches conectados a Internet, y según se vayan abriendo más funcionalidades, el riesgo va a ir aumentando. Un sistema solo es seguro si es impenetrable, y si no lo es, todo lo demás es discutible. Hackear un coche de los años 70 es imposible, salvo que se abra físicamente y se le haga un puente; a distancia, nada de nada.
No podemos decir lo mismo de un coche moderno. Por ejemplo, ya existen aparatos que se pueden conectar al puerto de diagnóstico (OBD) y permiten al dueño cerrar las puertas remotamente con el móvil, o conocer cuánto queda para el cambio de aceite, que suene el claxon para encontrarlo en un aparcamiento o controlar el consumo de combustible con detalle. Probamos recientemente un ejemplo, el SEAT Dongle.
Estos aparatos, cuando esa funcionalidad se puede utilizar de forma remota, están expuestos a un ataque. Un cracker podría tener acceso al aparato y lograr la apertura de las puertas (desactivando la alarma) y hasta arrancar el motor sin despertar sospecha alguna. Si un acceso legítimo es posible, uno ilegítimo también, solo cambia el grado de dificultad.
Es posible controlar algunas funciones remotamente con dispositivos portátiles como relojes (smartwatch) porque hay modelos conectados permanentemente a Internet
Las lecciones de WannaCry
A bordo de un automóvil no supone mucho problema que un ataque informático bloquee archivos y los haga desaparecer si no se paga un rescate. Se pueden perder archivos de música, preferencias de uso, cartografía del navegador... No, el problema no es ese.
Ransomware significa programas que secuestran, en un automóvil lo que tiene que poner los pelos de punta es el secuestro del propio vehículo. Pueden darse dos modalidades:
- Estático: el vehículo atacado no volverá a abrir sus puertas, arrancar o no ser operativo hasta que se satisfaga el rescate. De no ceder el chantaje, sería necesaria una restauración del software del fabricante e incluso la sustitución de alguna centralita (hardware) que quede inutilizable. Como poco costaría un dinero en el servicio oficial.
- Dinámico: el vehículo atacado puede ver limitadas algunas de sus prestaciones, incluso recibir la amenaza de una pérdida de control parcial o total. Mucha gente pagaría lo que hiciese falta -dando números de tarjeta de crédito- para que volviesen a funcionar los frenos o para que el acelerador se libere de la posición de máxima potencia.
Esto último ya se ha conseguido, no es ciencia ficción. Unos hackers demostraron que se podía tomar control de muchas funciones de un Jeep Cherokee, en marcha, contra la voluntad del conductor (que estaba avisado de lo que iba a pasar). Tomar el control de un coche es muy difícil, requiere meses de trabajo por modelo e ingeniería inversa, pero no es imposible a fecha de hoy. El acceso se produjo a través del sistema de infoentretenimiento, aunque Fiat Chrysler ya le puso solución al problema.
Los fabricantes tienen que diseñar los sistemas de forma que todas las funcionalidades con acceso remoto tengan el mínimo nivel de acceso imprescindible. Si no se puede conseguir el 100% de seguridad, las consecuencias de un ataque deben ser acotadas en la medida de lo posible.
Parte del éxito de infecciones de WannaCry en empresas se debe a la falta de actualización de sistemas Windows, que ya existía por parte de Microsoft, porque algunos administradores de sistemas no aplican los parches por sus posibles efectos secundarios. Es el caso de Telefónica, donde los parches se aprueban tras semanas o meses de pruebas. Puede pasar lo mismo para una flota de vehículos, por ejemplo.
Corre riesgo también el particular, que no se preocupa por estas cosas hasta que le ocurren
¿Qué podrá hacer el conductor normal y corriente? Por un lado, deberá estar pendiente de las actualizaciones que puedan salir para su coche, así como tomar unas elementales protecciones de uso. Los más miedosos pueden aceptar este consejo: huir de cualquier coche que utilice conexión a Internet para cualquier propósito. La unión de coches y ordenadores tiene sus cosas buenas, pero también tiene sus cosas malas.
