Hay una cierta perversión en que ejecutivos de empresas y funcionarios gubernamentales asistan en masa a conferencias como BlackHat y DefCon, donde esperan aprender algo de los hackers muy mediáticos que acuden a ellas con el objetivo de presumir de sus hazañas. Si algo han dejado claro ambas conferencias, celebradas este mes en Las Vegas, es que las vulnerabilidades han dejado de ser un problema de los PC y los móviles. El mayor revuelo mediático se desencadenó al revelarse ¡vaya golpe! que, con la complicidad, parece que didáctica, de la revista Wired dos hackers tomaron el control remoto de un Jeep Cherokee y lo desviaron hasta caer en un talud con el conductor (compinchado) a bordo.
Ja, ja, qué risas. Valiéndose de una vulnerabilidad de día cero, Charlie Miller y Chris Valasek (los pulcros hackers del vídeo) lograron colarse en el sistema de infotainment del Cherokee y de ahí pasaron a otras partes críticas: la transmisión, el volante y los frenos. La novedad es que lo hicieron sin tocar el coche, sólo mediante mediante wifi y la red celular, por lo que les bastaría conocer la IP de otro vehículo para repetir la proeza.
Ha sido un caso extremo de la tónica de estos eventos: lo que mola entre los hackers es el poliédrico Internet de las Cosas, con sus agujeros en cada cara. La etiqueta #jeephack está siendo muy celebrada en Twitter, pero no ha hecho ni pizca de gracia al fabricante, Fiat Chrysler, que admitió que circulan 1,4 millones de vehículos Cherokee potencialmente vulnerables, que ahora tendrán que ser actualizados mediante un USB que la compañía enviará por correo postal (!) a los propietarios.
En esto, Tesla le saca ventaja: otros hackers presentaron en Las Vegas un experimento similar con un modelo S, cuyo motor consiguieron apagar remotamente: el fabricante – que les dio acceso al coche con fines publicitarios – corrigió inmediatamente el fallo mediante una actualización over-the-air, como se hace con los sistemas operativos móviles. Y, por supuesto, fue corriendo a contarlo en BlackHat. No ha de ser casual que Tesla fichara por esas fechas a ún ex experto de Google que dirigía un equipo dedicado a rastrear vulnerabilidades. Tener alguien así en nómina es un punto a favor, teniendo en cuenta que un coche típico de la actual generación lleva de media 20 millones de líneas de código (dicen que más que un Boeing 787).
Se supone que los fabricantes de coches ´conectados` acabarán adoptando este procedimiento y no el correo postal para actualizar su software, aunque no deja de tener riesgos: nada impide que alguien se haga con las claves para enviar actualizaciones falsas que desbaraten las auténticas. Si sólo se tratara del sistema de navegación, no tendría demasiada importancia; lo grave vendría si se pudiera modificar el software que afecta a los frenos ABS, por ejemplo. Aparte de los peligros de accidente, se ha planteado la delicada cuestión del seguro: ¿será responsable el fabricante si el coche no ha frenado por haber sido hackeado?
Para evitar males mayores, una de las soluciones que se barajan es la de separar los sistemas críticos de los servicios conectados. Esta fue otra de las demostraciones de la feria de hackers: gracias a un dispositivo casero en los bajos de un coche GM, que usa la plataforma OnStar, es posible abrir el vehículo y arrancar el motor utilizando la aplicación RemoteLink. El inventor del aparato, un tal Samy Kambar, diseñó el experimento de tal manera que le permitiera leer el código que se envía para abrir el vehículo con un mando remoto. El dispositivo registra la información, pero no la transmite hasta que el conductor pulsa una segunda vez. Los códigos forman parte de una secuencia infinita y son únicos. Ingenioso, pero OnStar tiene ciertos límites, gracias a los cuales Kambar no pudo colarse en la conducción ni en los frenos.
«Peligroso a cualquier velocidad». Con este título, el abogado (y luego fútil candidato presidencial) Ralph Nader, publicó en los años 60 un libro que puso contra las cuerdas a General Motors, al acusarla de negligencia en el diseño de sus automóviles. Con los años, prácticamente todas las marcas han tenido problemas y escándalos varios debidos a fallos mecánicos o eléctricos. Pero el coche conectado a Internet plantea problemas de muy distinta magnitud. En consecuencia, la revelación de vulnerabilidades atribuibles al software o a la conexión son potencialmente más costosos para los fabricantes.
En Estados Unidos, la agencia federal encargada de la seguridad en las autopistas, estudia fórmulas de regulación para paliar amenazas de esta naturaleza. Cuestión harto complicada, aunque del mismo modo que hay estándares de instalación de airbags podrían dictarse reglas que impidan conectar el infotainment con los componentes sensibles. La primera medida ha sido crear un centro oficial para que la industria comparta información sobre amenazas a la seguridad de sus coches conectados.
Fue sólo el sabroso aperitivo de Black Hat 2015. También se discutió mucho sobre los peligros de IoT en plantas industriales. Hasta no hace mucho, la seguridad informática no era un requisito contractual en el diseño de una fábrica; hoy las nuevas exigencias condicionan el hardware y el software. Puede que no sea suficiente: como se pudo ver en Las Vegas, es relativamente fácil llevar a cabo un ataque que ralentice la producción o incluso pueda poner la planta fuera de servicio.
En las demostraciones se detallaron algunos ataques a plantas químicas. Entre ellos, algunas simulaciones afectaron a sistemas de monitorización de gasoductos, que según se piensa podrían evitarse con plataformas de virtualización. Tal vez lo más relevante en este campo fuera el hallazgo de vulnerabilidades críticas en sistemas SCADA, descubiertos en switches que se usan en sistemas de control industrial . Los fallos en estos dispositivos – recuérdense los ataques del virus Stuxnet a instalaciones nucleares en Irán – son susceptibles de provocar el parón de una planta o el cierre de un proceso.
En la conferencia DefCon, un tal Jason Larson explicó que podría reventar tuberías cerrando súbitamente una válvula, o hacer que las reacciones químicas ocurran en los conductos. Aunque, para tranquilizar un poco, admitió que le llevaría tiempo y necesitaría un chivato que le facilite información confidencial.
Saltaron más alertas inusuales en estas conferencias, como una sobre el hackeo a las transmisiones por satélite con el objetivo de falsear la información sobre dónde se encuentra un transporte de mercancías, para enmascarar un robo o un secuestro. El campo médico estuvo presente en las ponencias con más repercusión: se expresaron críticas a la confianza ciega con la que se jalea la noción de eHealth, que ha llevado a que tras ser descubierta una vulnerabilidad se siga lanzando software que encierra la misma amenaza. A pesar de todo, no hay noticia de que los hackers se hayan interesado (todavía) en explotar estos agujeros, tal vez porque aún no ven madura la rentabilidad.
Todo lo anterior es sólo una mínima parte del maremagnum descriptivo de fallos en smartphones [Android recibió muchos varapalos], más noticias sobre ciberespionaje, intrusiones en edificios cuya seguridad se basa en RFID, y deficiencias observadas en los métodos biométricos. Por cierto, para quien le interese, Black Hat 2015 Europa se celebrará en Amsterdam el próximo noviembre.
[informe de Pablo G.Bejerano]