Si hay un recurso que el cine contemporáneo ha explotado reiteradamente, incluso hasta el punto de resultar trillado, es el sabotaje de automóviles. Para ello, era habitual ver a los protagonistas tirados debajo de un vehículo con pinzas, alicates y destornilladores, buscando cortar el circuito de frenos o averiando el motor. Sin embargo, la escena de un auto bajando a toda velocidad por una ruta en pendiente sin que los frenos actúen ha quedado un poco obsoleta, ya que hoy la manera más sofisticada de hacer que un vehículo deje de responder a los mandos del conductor no es cortando algún cable, sino a través de los ciberataques.

Hoy no es descabellado imaginarse una situación en la que una familia esté circulando por la ruta, disfrutando de sus vacaciones arriba de un vehículo moderno y tecnológico, en el que repentinamente aparece un mensaje de advertencia –en la pantalla multimedia– indicando que el control de la dirección y el freno del mismo han sido comprometidos. El vehículo, sin llegar a ser autónomo, cuenta con un paquete avanzado de asistencias a la conducción y conectividad a Internet, haciendo posible que alguien sentado a cientos o miles de kilómetros de distancia sea capaz de provocar un accidente fatal a esta familia, simplemente pulsando algunas teclas de su laptop. El objetivo del perpetrador de este “secuestro virtual” es obtener dinero de esta familia, solicitando un pago inmediato empleando criptomonedas –como los renombrados bitcoins–, mientras siguen circulando por la ruta en este estado de pseudo control de su vehículo. Luego de concretada la transacción, el hacker se desconecta y libera los controles del vehículo para que el conductor finalmente pueda detenerse de manera segura y salvaguardar a su familia.

Aunque parezca salida de una película de ciencia ficción, esta situación no es fruto de una imaginación afiebrada sino una derivación de lo que ya ocurrió en los Estados Unidos en julio de 2015, cuando dos hackers tomaron el control de un Jeep Cherokee que circulaba por una autopista. Esto es una consecuencia de la transformación que están sufriendo los vehículos, ya que sus sistemas informáticos conectados a la red no se limitarán a ser simples reproductores de música o navegadores capaces de evitar un embotellamiento; en un futuro cercano podrán gobernar sistemas claves y vitales para la conducción, como la dirección, el acelerador y el freno. Entonces, de la misma manera que un pirata informático hoy puede tomar el control de una computadora o un servidor para robar o “secuestrar” archivos (conocido como ransomware), también podrá hackear un vehículo y controlar a distancia su funcionamiento.

A riesgo de sonar incluso más hollywoodense, este control remoto de los vehículos también podría utilizarse para algo aún más macabro: asesinatos indetectables. Según trascendió en un WikiLeak en marzo del 2017, la CIA estaría desarrollando un programa capaz de infectar a los sistemas de control de los vehículos modernos para “realizar asesinatos a distancia, virtualmente indetectables”; y lo más probable es que varios grupos terroristas también estén creando sistemas informáticos con este tipo de capacidades. Muchas películas ya han coqueteado con la idea de que algo o alguien toma el control de un vehículo para provocar un accidente que intente terminar con la vida del protagonista. O más radical aún, como se vio en la última entrega de Rápidos y Furiosos, cuando decenas de vehículos fueron controlados remotamente y convertidos en un ejército letal de “drones de cuatro ruedas” para realizar un asalto combinado a una limousine blindada.

Jackware

El jackware es un software malicioso que intenta tomar el control de un dispositivo cuyo objetivo principal no es el procesamiento de datos ni la comunicación digital, según lo definió el investigador senior de la firma ESET, Stephen Cobb. Un automóvil, por ejemplo, sería uno de estos dispositivos. El caso más perturbador en el que un vehículo fue víctima del jackware ocurrió unos tres años atrás, cuando dos hackers –pero de los buenos– pudieron tomar el control y “paralizar” con facilidad a un Jeep Cherokee del 2014 que estaba circulando en los Estados Unidos. En medio de la autopista, a 112 km/h, primero se encendió “solo” y al máximo el aire acondicionado, después aparecieron fotos extrañas en la pantalla multimedia, se prendió la música a todo volumen y se activaron los limpiaparabrisas. Finalmente, cuando el aturdido conductor apenas podía seguir conduciendo, se apagó de repente el motor del vehículo. También fueron capaces de desactivar los frenos a baja velocidad, de producir aceleraciones indeseadas y de mover la dirección del vehículo en cualquier rango de velocidad. Esta demostración de la debilidad del sistema de seguridad fue realizada con un conductor profesional que ya estaba advertido sobre una serie de eventos extraños que le ocurrirían en algún momento de su viaje de prueba, y derivó en un recall por parte de Jeep que involucró a 1,4 millones de vehículos y que, en palabras de la compañía, resultó costoso y embarazoso. Y no fue para menos.

Quizás, en no mucho tiempo, sea más importante la valoración de un ente certificador de seguridad informática que los resultados de la Euro NCAP.

Otra de las marcas afectadas por este problema fue ni más ni menos que Tesla, quizás la compañía más tecnológica y visionaria de la industria automotriz. No fueron una sino dos las veces en las que un grupo de investigadores chinos demostraron ser capaces de hackear a dos modelos de la marca californiana: a un Model S en 2016 y a un Model X en 2017. En el primer caso, pudieron tomar el control del vehículo de manera remota a una distancia de 20 km, interfiriendo con los frenos, el bloqueo de las puertas, la pantalla del centro de infotainment, los vidrios y los espejos eléctricos, entre otros; para ello, el Model S debía conectarse a un spot de WiFi malicioso y solo se podía ejecutar cuando el navegador de Internet del auto era utilizado. En el segundo hackeo, este grupo volvió a apoderarse de los frenos, pero también pudo controlar la apertura y cierre de las puertas y el baúl (hay que recordar que el Model X tiene unas puertas traseras tipo alas de gaviota, que se abren eléctricamente), las luces y el equipo de sonido; nuevamente, la puerta de ingreso de este jackware fue el navegador de Internet del vehículo, haciendo posible que tanto por una red WiFi como desde un celular se pueda tomar control del mismo. Y, si bien Tesla corrigió rápidamente los bugs del software de sus vehículos e incentiva a este tipo de investigaciones para ayudar a maximizar la seguridad de los mismos, la pregunta es qué pasará cuando haya alguien cuyo objetivo sea ganar un momento de fama provocando un atentado que ocupe todos los medios de comunicación.

Anti-Malware y grupos de investigación

Si bien la respuesta más intuitiva a estos problemas de seguridad cibernética sería desarrollar un “antivirus” más potente, la gran cantidad de fabricantes (u OEMs, como se los denomina en la jerga de la industria, por Original Equipment Manufacturer) hace que sea un desafío titánico que todas avancen en una misma dirección y de manera homogénea. Además, las técnicas tradicionales de seguridad como el filtrado, el cifrado y la autenticación pueden generar sobrecargas en los sistemas (algunos necesitan operar con baja demora o “latencia”), mientras que técnicas como barreras de aire o redundancia pueden incrementar el costo de los vehículos, algo que se sabe pone nerviosas a las automotrices, que siempre están intentando reducir cada centavo de costo posible.

Por este motivo, el accionar de la política y la legislación serán claves para proveer un marco de uniformidad para todas las OEMs, que las obligue a implementar una serie de sistemas mínimos que aseguren un piso de seguridad. Algo parecido a lo que ocurrió en las últimas décadas en aspectos como seguridad pasiva, activa y emisiones, en las que los principales gobiernos y asociaciones de países fueron subiendo la vara sistemáticamente, obligando a las automotrices a poner airbags, sistemas de asistencia a la conducción (como el ABS o el ESP) y reducir los gases contaminantes que salen del escape. Los autos eléctricos y conectados serán libres de emisiones y menos propensos a chocar que los actuales, pero será necesario obligar a las empresas a que los equipen con sistemas de defensa certificados.

Sin embargo, y teniendo en cuenta los fracasos que vienen ocurriendo a nivel mundial para intentar controlar los ataques de ransomware a nivel informático, la respuesta a estos futuros inconvenientes en la industria automotriz podría venir de algo ajeno a las marcas, e incluso a los gobiernos: la investigación colaborativa. Al igual que ocurrió con Tesla, probablemente sean grupos de investigadores –incluyendo nerds sabelotodo que viven en simbiosis con sus computadoras– los encargados de permanentemente buscar fallas en los sistemas de las empresas previo a que los lancen, o al menos antes que los delincuentes si estos ya fueron implementados. Un ejemplo puntual fruto de esta manera de trabajo, que incluyó el joint venture entre diversos institutos y universidades de los Estados Unidos, es el Uptane, un framework de ciberseguridad para automóviles destinado a proteger las actualizaciones y módulos no cableados de conexión. Este sistema mejorará la capacidad de los expertos para reconocer las vulnerabilidades o fallos de la herramienta antes de su lanzamiento, permitirá a los fabricantes controlar totalmente el software crítico mientras se comparte el control –por ejemplo, con agencias de seguridad–, y ayudará a que se desplieguen las medidas correctivas para “taponar” vulnerabilidades de una forma rápida y muy barata.

¿Auto o computadora?

El “paradigma smartphone” es tan poderoso que hoy pareciera que todo debe diseñarse siguiendo este modelo. Las personas quieren que desde su televisor hasta la pantalla de su automóvil se manejen con la misma fluidez que su celular. Por ello, la conectividad en los vehículos se ha convertido en un apartado tan relevante que ya es un factor decisivo de compra, haciendo que aquellos modelos cuyos centros de infotainment sean más parecidos a los smartphones atraigan a un público cada vez más geek y tecnológico como los millennials. Además, con la inminente proliferación de Internet de las Cosas o IoT (Internet of Things), lo que probablemente termine ocurriendo es que el automóvil convierta en uno de los 10 dispositivos que cada persona –en promedio– tendrá conectados a Internet y gestionados dese su celular a comienzos de la década entrante.

Sin embargo, el hecho de que todo comience a parecerse cada vez más a los smartphones –incluso los autos– puede traer aparejado una serie de inconvenientes, que van desde deterioros de performance hasta los tan temidos secuestros virtuales. Por ejemplo, podrán haber virus o malware que ingresen a los automóviles y que, como pasa en los teléfonos, hagan que aparezcan pop-ups indeseables que bloqueen la pantalla y que no permitan ajustar el climatizador sin antes cerrar 20 pestañas de publicidad basura; que el programa que controla el sistema eléctrico se ralentice, haciendo que pierdan potencia para acelerar (¿habrá incluso alguna marca que restrinja la performance en pos de contrarrestar el deterioro de las baterías, como hizo Apple con el iPhone?); o que produzcan que, con el paso del tiempo, se vuelva cada vez más lento y tedioso operar los diversos comandos de los vehículos, como ocurre con los smartphones.

¿Habrá, incluso, alguna marca que restrinja la performance de los vehículos en pos de contrarrestar el deterioro de las baterías, como hizo Apple con el iPhone?

En un mundo cada vez más tecnológico, parece casi ineludible que la industria automotriz pueda desmarcarse de esta tendencia y que los vehículos no terminen siendo ni más ni menos que computadoras con ruedas, susceptibles a los virus y sus derivados. Quizás, en no mucho tiempo, esto haga que sea más importante la valoración de un ente certificador de seguridad informática que los resultados de la Euro NCAP, ya que la seguridad no pasará por la pericia del conductor sino por la versión del software que utiliza el automóvil. Incluso, hasta puede derivar en la creación de un nicho de vehículos “desconectados”, para aquellos escépticos que solo se sientan seguros estando fuera del sistema. Sin dudas, tenemos por delante tiempos que nos desafiarán, pero que también nos deslumbrarán.