La empresa automovilística General Motors (GM) tardó media década en resolver un problema de seguridad en su sistema de administración de autos OnStar.
Investigadores de la Universidad de California en San Diego y la Universidad de Washington hicieron el descubrimiento inicialmente en 2010, mientras verificaban la seguridad de un Chevy Impala modelo 2009, según reportó la revista Wired.
Sin embargo, los expertos decidieron no publicar sus hallazgos en un artículo, y optaron por avisarle directamente a la fabricante norteamericana lo que habían encontrado. El equipo también le informó a la National Highway Traffic Safety Administration (NHTSA) sobre la falla, y concluyeron que dejaba a millones de vehículos en riesgo de ser atacados.
La vulnerabilidad implicaba que un cibercriminal tenía la habilidad no solo de acceder a los datos recolectados por la computadora del sistema del auto, sino también de deshabilitar los frenos.
"Básicamente teníamos el control total del auto, excepto de la dirección", le dijo a Wired Karl Koscher, uno de los investigadores de seguridad que ayudó a identificar la falla. "Ciertamente hubiera sido mejor si se hubiera corregido antes".
La respuesta de General Motors podrá ser vista como lenta y descuidada, pero no es atípica; los investigadores señalaron que esta parsimoniosa forma de resolver la vulnerabilidad no fue un caso aislado. Aseguran que la industria automotriz en general ha sido lenta para responder a las implicancias de seguridad que vienen con los automóviles computarizados y conectados a Internet.
"No tenían las capacidades que damos por sentadas en el mundo de escritorio y de servidores", explicó Stefan Savage, profesor de Ciencia e Ingeniería Informática de la Universidad de California y uno de los investigadores principales del proyecto.
"Es bastante triste que la industria no estaba en condiciones de lidiar con esto en ese entonces, y que hoy, cinco años después, todavía no hay un sistema universal de respuesta a incidentes y actualización de sistemas", agregó.
En la misma línea, se reveló el mes pasado que los hallazgos de un estudio similar no pudieron ser publicados debido a que un juez del Tribunal Superior de Justicia del Reino Unido lo impidió por dos años.
En 2013, la Universidad de Birmingham en el Reino Unido y la Universidad Radboud en los Países Bajos habían intentado publicar su artículo sobre una vulnerabilidad que identificaron en el transpondedor Megamos Crypto, que es ampliamente usado en automóviles Audi, Fiat, Honda, Volkswagen y Volvo.
En ese entonces, el juez estuvo de acuerdo con el reclamo de Volkswagen de que el acceso público al reporte revelaría detalles clave que podrían ser usados por cibercriminales con fines maliciosos. Claro que, aún sin los detalles de las investigaciones, los atacantes seguirán buscando formas de atacar los vehículos inteligentes, por lo que, una vez más, queda mostrada la necesidad de que los fabricantes incluyan a la seguridad como factor fundamental en el proceso.
Sigue leyendo: Jeep a control remoto: reflexiones sobre la seguridad de los automóviles