Bloomberg Businessweek

Hackers buenos vs. robacoches

Los delicuentes pueden hackear desde la conexión Bluetooth del auto hasta el cableado de los faros, pero los piratas informáticos éticos están ayudando a mejorar la seguridad.

Una placa de Tesla en el laboratorio de hardware de Synacktiv, en París.

En un pequeño laboratorio en París un grupo de investigadores experimenta con el sistema de infoentretenimiento de un coche Tesla. Juegan con el dispositivo, una placa de circuito que compraron en eBay por 400 dólares, en busca de debilidades. Para determinar qué componentes controlan qué funciones, lo conectan a un osciloscopio, mientras otras herramientas les ayudan a extraer y analizar datos. El fruto de su trabajo: la capacidad de enviar instrucciones de forma inalámbrica a un Tesla, como abrir remotamente las puertas y la cajuela delantera, apagar las luces y potencialmente el auto, sin siquiera tener una llave, incluso mientras el auto está en movimiento.

Los investigadores son hackers de sombrero blanco y trabajan para la empresa francesa de ciberseguridad Synacktiv, que ayuda a examinar los sistemas informáticos de los clientes. Tesla no es un cliente. En marzo de este año, Synacktiv ganó el concurso Pwn2Own, una renombrada competencia de hacking en Vancouver patrocinada por Zero Day Initiative de Trend Micro Inc., al demostrar cómo podían hackear los vehículos eléctricos de Tesla.

Los Tesla tienen fama de ser objetivos especialmente difíciles para quienes buscan explotar las debilidades de ciberseguridad del automóvil, y tienen menos probabilidades de ser robados que otros coches, según la organización llamada Highway Loss Data Institute, dedicada a analizar los datos de las aseguradoras. Sin embargo, el reciente éxito de Synacktiv es un recordatorio del cambiante panorama entre quienes intentan robar autos y quienes intentan impedirlo.

Después de años de disminución, los robos de automóviles han ido en aumento en Estados Unidos; registraron su menor nivel en 2014 y desde entonces han subido más de 45 por ciento, en 2022 el total de unidades robadas superó el millón por primera vez desde 2007.

En el Reino Unido, los robos aumentaron 19 por ciento solo en 2022. La Agencia Nacional contra el Crimen británica dijo en julio que un factor fue el aumento de los “robos electrónicos”, una categoría que cubre acciones como que un ladrón quite un faro y luego conecte un dispositivo que envía comandos para desbloquear las puertas del auto y arrancar el motor.

Los delincuentes también han estado utilizando una variedad de dispositivos para interceptar señales de los transmisores sin llave para entrar a los coches y bloquear rastreadores GPS que facilitarían la recuperación de los vehículos robados. Los expertos en ciberseguridad dicen que a menudo es difícil saber si dichos dispositivos estuvieron involucrados en delitos, lo que dificulta determinar el alcance del problema. En Estados Unidos, la organización no lucrativa National Insurance Crime Bureau ha estado advirtiendo durante casi una década sobre el uso delictivo de dispositivos que imitan la función de los llaveros inalámbricos. En octubre de 2022, la Europol anunció el arresto de 31 personas en Francia, Letonia y España que eran parte de una red de robo de coches que empleaba dispositivos que falsificaban los sistemas de acceso sin llave.


Las autoridades británicas están considerando prohibir la venta, compra o posesión de equipos que puedan usarse para hackear automóviles, según las noticias locales. Algunos legisladores también están intentando obligar a los fabricantes de automóviles a robustecer sus sistemas de seguridad. El año pasado entró en vigor una ley en la Unión Europea que exige que todos los vehículos nuevos se sometan a una revisión de ciberseguridad y que las automotrices tengan un plan para identificar y solucionar vulnerabilidades antes de vender los vehículos.

Este mayor escrutinio favorece a empresas del ramo de la ciberseguridad como Synacktiv. Tiffany Rad, consultora independiente en la materia desde 2006, dice que está trabajando con funcionarios estadounidenses en el desarrollo de estándares de ciberseguridad y privacidad para la industria del transporte, examinando los requisitos potenciales para las etapas de diseño de la fabricación de automóviles. “Cuando comencé a hackear automóviles, a las automotrices no les preocupaba mucho la ciberseguridad. Las cosas son muy diferentes ahora”, expresa.

Una importante llamada de atención se produjo en 2015, cuando dos investigadores hicieron que un reportero de la revista Wired condujera un Jeep por St. Louis y luego secuestraron el vehículo de forma remota mientras él estaba al volante (también compartieron su investigación con FCA US LLC, la compañía que fabricó el auto, y esta corrigió la vulnerabilidad). Las automotrices han agregado funciones de ciberseguridad desde entonces (los investigadores que hackearon el Jeep pronto encontraron trabajo en la industria), pero los coches siguen añadiendo también nuevas vulnerabilidades a medida que dependen más de los sistemas informáticos.

La seguridad es un problema en toda la industria informática. Pero quienes fabrican autos tienen una tarea particularmente difícil, porque las personas tienden a conservar su automóvil durante mucho más tiempo que, digamos, su smartphone, opina Ken Tindell, director de tecnología de Canis Automotive Labs Ltd., una empresa de seguridad automotriz con sede en el Reino Unido. “Los coches que ves son como la luz de las estrellas, es decir, representan el estado de la industria no como es hoy sino hace muchos años”, afirma. “El actual aumento en el robo de autos proviene de un puñado de delincuentes con conocimientos tecnológicos que diseñan dispositivos de hackeo que son fáciles de usar por los ladrones en modelos pasados con fallas de seguridad”.

Algunos problemas pueden solucionarse si los dueños de vehículos van al concesionario para recibir actualizaciones de software cuando la automotriz descubre vulnerabilidades, pero otros son más difíciles de detener. Canis Automotive Labs publicó un informe en abril que documentaba el hackeo de un Toyota RAV4 robado el año pasado. Tindell trabajó con el propietario del vehículo, un investigador independiente de ciberseguridad llamado Ian Tabor, para descubrir cómo los ladrones realizaron el ataque, que implicó quitar los faros del automóvil para obtener acceso a la red interna, a través de la cual las diferentes partes del auto se comunican entre sí.

En las semanas previas al robo, Tabor había descubierto en dos mañanas distintas daños en su vehículo: primero desapareció la defensa delantera y luego el cableado de los faros estaba tan destrozado que ya no funcionaban. Publicó fotos en las redes, quejándose de lo que entonces asumió como vandalismo. Después del robo, los investigadores utilizaron una aplicación que rastreaba la telemática a bordo del vehículo para confirmar cómo fue robado, y al recorrer foros de cibercriminales encontraron a la venta herramientas de hacking e instrucciones que permiten esos ataques. Hay dispositivos específicos para: BMW, Cadillac, Honda y Jaguar, entre otros.

Según relata el informe, los investigadores compraron una de esas herramientas, una bocina Bluetooth adaptada con una pequeña pieza electrónica cargada con código malicioso. Activaron un chip especial escondido en el interior al presionar el botón de reproducción, enviando al sistema del automóvil el mensaje para desbloquear las puertas. Ya adentro, pudieron desconectar la herramienta de hackeo y arrancar el motor.

Los investigadores de Canis determinaron que se utilizó una herramienta similar para robar el vehículo de Tabor (un portavoz de Toyota Motor Corp. dijo en un correo electrónico que la compañía “trabaja de manera continua en el desarrollo de soluciones técnicas para hacer que los vehículos sean más seguros” y que dichos dispositivos no deberían estar disponibles para la venta en línea.)

El trabajo principal de Synacktiv consiste en realizar “pruebas de penetración” para clientes distintos a las automotrices. Decidió centrarse en los Tesla dada la popularidad de los vehículos y su reputación de ser particularmente resistentes a los ciberataques. Gran parte de las investigaciones de seguridad publicadas, atinentes a Tesla, involucran fallas en los servicios en la nube utilizados por los propietarios, no en los propios vehículos.

En 2022, el adolescente alemán llamado David Colombo detectó una debilidad en una aplicación de terceros que algunos propietarios de Tesla utilizan para recopilar y analizar datos sobre sus vehículos. Esta le permitió acceder a todo un historial de ubicación de esos vehículos y a las funciones hackeables que los propietarios habían habilitado a través de la aplicación, incluida abrir y cerrar puertas de forma remota.

El trabajo de Synacktiv ha expuesto graves fallos en el código de los propios Tesla. En la competencia Pwn2Own, en marzo, reveló tres vulnerabilidades que permitieron hackear características clave de seguridad del Model 3, incluso mientras el automóvil está en marcha. Para hackear el Tesla, el equipo de Synacktiv necesitaba estar dentro del alcance de su conexión Bluetooth. Sin ningún contacto físico con el vehículo, pudieron ejecutar código malicioso directamente en el sistema de infoentretenimiento del Tesla y luego más a fondo en el vehículo, sorteando las principales protecciones de ciberseguridad del automóvil (no pudieron controlar el volante ni la velocidad, que están protegidos por capas adicionales de seguridad).

La demostración le valió a Synacktiv un premio de 350 mil dólares y un nuevo Tesla Model 3. Tesla no respondió a las solicitudes de comentarios, pero ha estado involucrada en la competencia desde 2019 y proporcionó el auto que Synacktiv ganó como premio, según Dustin Childs, jefe de concientización sobre amenazas en Zero Day Initiative. Tesla suele invitar a hackers “éticos” (los de sombrero blanco) a buscar fallas en su tecnología y desde 2014 tiene el programa bug bounty para recompensar a quienes las detecten y reporten, según comunicados de prensa y declaraciones públicas de la automotriz.

De acuerdo con Synacktiv, las vulnerabilidades exhibidas en la competencia fueron luego corregidas por Tesla. Los investigadores de la firma de seguridad dicen que quizás participen en el Pwn2Own del próximo año, pero con las mejoras de seguridad que ha realizado Tesla, sus expectativas son bajas.

“Cada año se ha vuelto más difícil realizar exploits útiles e impactantes específicos para Tesla”, dice Vincent Dehors, uno de los investigadores de Synacktiv. “Probablemente participaremos, pero no sabemos si podremos hacer algo. Creemos, por ahora, que será muy difícil”, apunta.

Lee aquí la versión más reciente de Businessweek México:


También lee: