En una investigación de PCAutomotive presentada por Danila Parnishchev y Artem Ivachev en Black Hat Europe 2024, los investigadores detallaron cómo los actores maliciosos podían explotar varios fallos en las unidades de infoentretenimiento para controlar el micrófono del vehículo, grabar a los ocupantes y reproducir la grabación a través del mismo sistema, exfiltrar datos personales, rastrear el coche y la velocidad a través del GPS integrado y robar la lista de contactos que se había cargado a través de un dispositivo conectado.

Sin embargo, por alguna razón parece menos invasivo que, por ejemplo, un ataque a un smartphone que permita al atacante rastrear el dispositivo, controlar su micrófono y exfiltrar datos y contactos.

La presentación que incluía en su título "Compromiso de los vehículos modernos" puede crear la expectativa de que estás a punto de ver una demostración dramática de un coche hackeado que de repente se detiene o se desvía bajo el control de una persona malintencionada. La expectativa de poder hackear un coche proporciona una imagen visual de catástrofe, un peligro para la vida de los que van en el coche y de los demás, así que cuando el asunto resulta implicar «sólo» privacidad y datos personales, se siente como un alivio. Sin embargo, esto no quiere decir que haya que subestimar las posibles implicaciones para la privacidad.

La mecánica de un hack

Cuando conectas por primera vez un smartphone al sistema de infoentretenimiento de un coche, sueles tener la opción de cargar y sincronizar los contactos directamente. Esto permite acceder sin problemas a los contactos en la pantalla y realizar llamadas cuando sea necesario. Los investigadores descubrieron que cargando una lista de contactos modificada podían explotar una vulnerabilidad del sistema y emitir comandos a distancia (ejecución remota de código - RCE).

Una vez en el sistema pueden controlar algunos elementos y exfiltrar los datos. Las vulnerabilidades descritas por el equipo en la conferencia afectaban a 1,4 millones de vehículos, pero lo importante es que las 21 vulnerabilidades se han resuelto con software actualizado a través de los fabricantes afectados.

Dicho esto, los problemas de privacidad son importantes, al igual que las posibilidades de abuso. Imagina a una pareja controladora siguiendo a su pareja y accediendo a sus contactos y otros datos, todo ello a través del sistema de infoentretenimiento del coche y sin el conocimiento o consentimiento de la víctima. También está el preocupante aspecto del espionaje: estoy seguro de que puedes imaginar cómo se podría explotar este tipo de pirateo para la vigilancia y la recopilación de información a gran escala.

Abordar la evolución con cautela

El título de la presentación, y otras similares, pueden inducir involuntariamente a error e incluso provocar desconfianza hacia lo que deberíamos estar adoptando. La industria automovilística se está transformando, y este tipo de representaciones del riesgo pueden incluso socavar la confianza del público en estas innovaciones.

Por ejemplo, hace poco tuve la experiencia de montar en un taxi sin conductor de Waymo en Phoenix, Estados Unidos. Se solicita a través de una aplicación, el coche se detiene, te subes y, una vez cómodo, pulsas el botón para iniciar el viaje: Fui de un hotel al aeropuerto. Hice lo obligatorio y grabé un breve vídeo para compartirlo con amigos y familiares. La respuesta común fue «nunca, para mí no, ¿te sentiste seguro?».

Estoy seguro de que un psicólogo puede explicar estos sentimientos en detalle; para mí, sin embargo, se trata de confiar en un proceso regulador, en la evaluación de riesgos y en los talentosos ingenieros que lo han desarrollado. Los coches de Waymo no son prototipos fortuitos; han sido probados, examinados por reguladores y defensores de la seguridad, y las aseguradoras han decidido que el riesgo es aceptable, lo cual no es poco.

Cuando me pregunten por las presentaciones a las que asistí en Black Hat Europe este año, no diré que "alguien demostró cómo piratear un vehículo". Seré más preciso y explicaré que "alguien demostró cómo comprometer el sistema de infoentretenimiento de un vehículo".

Esta distinción es importante. No debemos infundir miedo a la tecnología, sino abrazar su evolución. Los fallos y las correcciones posteriores forman parte de la evolución, y debemos abordar el cambio con un sentido de apertura pero también, lo admito, con cierta cautela.