Hay una diferencia fundamental entre cibercriminales e investigadores de vulnerabilidades de sombrero blanco.
Cuando un sombrero blanco encuentra una vulnerabilidad puede explorarla y escribir una interesante presentación sobre lo que puede lograrse a través de la falla, pero solo una vez que describió la falla de seguridad al fabricante correspondiente y el agujero se cerró. Eso es todo.
Sin embargo, cuando un criminal descubre una vulnerabilidad de seguridad no va corriendo a contarle al fabricante sobre ella. En cambio, la usa como puente para ver a dónde más puede llegar y qué más puede hacer, sabiendo que tiene tiempo potencialmente ilimitado para profundizar y comprometer más a los sistemas. Así, convierte a una falla grave en algo crítico.
Y ¿qué ataque sería más crítico que causar la muerte de alguien?
Eso es algo para tener en cuenta cuando salen nuevas investigaciones sobre hacking de vehículos. Si se presentan vulnerabilidades, hay oportunidades para causar accidentes automovilísticos y, potencialmente, la muerte de los ocupantes del auto y otras personas que estén circulando.
Mañana en BlackHat Estados Unidos, los famosos investigadores de seguridad Charlie Miller y Chris Valasek van a presentar sus últimos hallazgos en el mundo del hacking de vehículos, al igual que el año pasado. Ambos se han hecho un nombre en este rubro tras el dramático caso del Jeep Cherokee, con cuyo sistema de entretenimiento, motor y frenos se podía interferir mientras era conducido por una autopista a 70 millas por hora.
Los investigadores habían explotado vulnerabilidades zero-day en la unidad principal vulnerable Uconnect del vehículo. Días después de que el asunto llegara a las primeras planas, Fiat Chrysler anunció un retiro de seguridad de 1,4 millones de vehículos.
Lo más alarmante fue que el ataque se logró en forma remota, a varias millas del Jeep con el que interfirieron. El único resquicio de esperanza es que lo más entrometido que pudieron hacer con las funciones del auto solo fue posible cuando este circulaba a baja velocidad.
Sin embargo, como reporta Wired, en esta edición de BlackHat los investigadores revelarán que ahora saben cómo hacer cosas mucho más peligrosas, sin importar la velocidad del vehículo:
Enviando mensajes cuidadosamente diseñados en la red interna del vehículo conocida como bus CAN, ahora pueden hacer trucos más peligrosos y sin precedente, como causar aceleración y frenar fuertemente o girar el volante a cualquier velocidad.
El siguiente video de YouTube demustra lo que los investigadores lograron tomando el control de la dirección del vehículo en movimiento:
Debido al aviso que Miller y Valasek le dieron en forma responsable y anticipada a Chrysler, los peligrosos ataques ya no se pueden ejecutar en forma remota y requieren de acceso físico al vehículo. Podría ser peor, ¿verdad?
Imagina si no hubiesen sido sombreros blancos quieren descubrieron las fallas, que la vulnerabilidad no hubiese sido parcheada y que los atacantes maliciosos fueran capaces de hacer chocar autos y causar accidentes en forma remota.
Lo que Miller y Valasek descubrieron es suficientemente preocupante. Pero da un escalofrío pensar cuán peores podrían ser las cosas. ¿Quién sabe qué otros vehículos están en las calles con fallas similares que todavía no se descubrieron?
Sigue leyendo: Hackeando autos en Latinoamérica o cómo aprovecharse de su dispositivo integrado