Esta semana un grupo de investigadores presentará un estudio mostrando lo que podría suceder si un hacker decidiera atacar los sistemas informáticos integrados en los automóviles. Los investigadores descubrieron que, entre otras cosas, el atacante podría deshabilitar los frenos del vehículo, parar el motor, o tomar el control de las cerraduras de las puertas. Todo lo que necesita el atacante es el acceso al puesto de diagnóstico a bordo requerido por la legislación federal—ubicado bajo el tablero de instrumentos en casi todos los coches hoy en día.

Los investigadores hacen alusión a un informe reciente que muestra que un sedán de lujo típico contiene en la actualidad alrededor de 100 megabytes de código que controla entre 50 y 70 equipos del interior del coche, la mayoría de los cuales se comunican a través de una red compartida interior.

"En muchas de las arquitecturas de coches, los ordenadores están interconectados, por lo que al hacerse cargo de un componente, existe el riesgo sustancial de poder hacerse cargo del resto. Una vez que entras, estás dentro," afirma Stefan Savage, profesor asociado en el departamento de ciencias informáticas e ingeniería en la Universidad de California, en San Diego, así como uno de los principales investigadores del proyecto.

Los investigadores afirman que su trabajo aún no debe ser motivo de alarma, debido principalmente a que los ataques requieren el acceso al interior del vehículo. Sin embargo a algunos de estos sistemas se puede acceder de forma remota, y la tendencia es agregar cada vez más conectividad inalámbrica--por ejemplo, los sistemas inalámbricos de respuesta automática frente a accidentes. Los investigadores afirman que otros sistemas, tales como las radios por satélite y la apertura de puertas por control remoto, también podrían convertirse en puntos de entrada.

Los sistemas de automóvil poseen interconexiones sorprendentes, señala Savage. Por razones de seguridad, los coches están programados para desbloquear las puertas después de desplegar los airbags y así ayudar a los pasajeros potencialmente heridos a salir del vehículo. Esto crea una conexión entre el sistema de bloqueo de puertas y el sistema de detección de choques que, teóricamente, un atacante podría aprovechar.

Los investigadores analizaron los sistemas informáticos dentro de un coche sin ningún conocimiento especial provisto por el fabricante. Empezaron por extraer el hardware para después ejecutar ataques de prueba de seguridad estándar tales como el 'fuzzing', que pone a prueba el software con entradas aleatorias para ver si es posible inducir cualquier fallo o comportamiento extraño. Usaron la información obtenida para crear ataques que pudieran tomar el mando y controlar los sistemas de la red interna del coche. Pusieron a prueba sus ataques en un vehículo inmóvil antes de realizar pruebas en carretera para garantizar que sus ataques fuesen prácticos en el mundo real.

"Hasta que realmente hicimos las pruebas en carretera y en directo, no creo que ninguno de nosotros hubiéramos sido capaces de decir que cualquiera podría hacerle esto a un coche en la carretera", afirma Tadayoshi Kohno, profesor asistente de ciencias informáticas e ingeniería en la Universidad de Washington, además de investigador principal del proyecto. Aunque algunos de los ataques tuvieron que ser ajustados en ese momento, aún así funcionaban.

Va a ser todo un reto diseñar sistemas para automóviles que sean más seguros, asegura Savage, puesto que muchas de las técnicas comúnmente usadas para proteger los dispositivos no se transferirán bien. Por ejemplo, es común que los sistemas de seguridad terminen los procesos de computación cuando detectan un comportamiento anormal. En el caso de un sistema electrónico de frenado, sin embargo, apagarlo podría ser tan peligroso como permitir que un programa corrupto siguiera funcionando.

Savage y Kohno señalan que planean trabajar en el diseño de nuevas técnicas para asegurar los sistemas informáticos de automóvil a través del recién formado Centro de Sistemas de Seguridad Incorporados en Automóviles. Tienen la esperanza de trabajar con los fabricantes y otras empresas involucradas en el diseño de sistemas informáticos de vehículos para asegurarse de que sus soluciones son prácticas y fáciles de implementar.

Una cosa que llama la atención en el trabajo de los investigadores es que encontraron muchos sistemas de seguridad que no estaban completamente implementados, como por ejemplo ciertos controles de autenticación que estaban presentes pero no en uso, afirma HD Moore, jefe de seguridad de la compañía de Boston Rapid7 y arquitecto jefe de Metasploit, un framework de código abierto para la puesta a prueba de sistemas a la búsqueda de agujeros de seguridad. Moore también puso a prueba varios programas para vehículos y encontró problemas similares. "Esto da una idea de la inmadurez de la industria", señala, y afirma que los problemas probablemente se agravarán a medida que una cada vez mayor cantidad de software amplíe el alcance de la red interna del coche.

Kevin Fu, profesor asistente de ciencias informáticas en la Universidad de Massachusetts, en Amherst, está de acuerdo. "Probablemente sea hora de llevar a cabo un examen exhaustivo tanto por parte de la industria como de los legisladores acerca del modo de ofrecer garantías de seguridad para los sistemas de automoción con controles gestionados por software y vías de comunicación cada vez más complejas", advierte.