Tomar el control de los automóviles es una actividad central en la reciente película Rápidos y Furiosos 8 (The Fate of the Furious), el octavo episodio de la saga, protagonizado por Vin Diesel y Dwayne Johnson. Siendo que acuñé el término "jackware" para referirme al código malicioso usado para controlar vehículos, me entusiasmó ver que un amigo de Twitter me señalaba la representación de este fenómeno en el film, así que decidí ir a verlo al cine.
Para aquellos a los que no les guste ir al cine o no sientan interés por esta película pero sí por el jackware, pueden ver las escenas de las que hablo en este trailer oficial:
Todo comenzó con un Jeep
Si has seguido de cerca la evolución del hacking de autos, sabrás que el caso del Jeep publicado en Wired allá por 2015 fue un antes y un después, y que lo discutimos aquí en WeLiveSecurity también. Y si prestas atención al trailer de la película cerca de los 45 segundos, notarás que el primer vehículo que se estrella contra una ventana es un Jeep, y que parece ser el mismo modelo comprometido en Wired.
jackware es el uso de malware para controlar un vehículo
Algún tiempo después del ataque al Jeep, se me ocurrió el término "jackware" para describir el uso de malware para controlar un vehículo, ya sea para extorsionar al dueño y hacerle pagar un rescate, o para llevarlo a un destino diferente al que el conductor hubiera planificado. Piénsalo como ransomware para autos y extorsión a sus ocupantes por medio de malware.
Claramente, quienes estuvieron detrás de The Fate of the Furious ya habían comenzado a imaginar cómo se vería una aplicación masiva del jackware, y su versión ya forma parte de la cultura popular. Lo que retrataron es un caos vehicular desatado a raíz del abuso de las funcionalidades de manejo autónomo de los autos modernos; así los cibercriminales lograron crear un ejército letal de drones de cuatro ruedas.
Pero, ¿podría suceder realmente?
Me parece una pregunta razonable, especialmente cuando ves la escena en la que alguien en un garaje de oficina a gran altura está a punto de entrar en su coche, uno que podría parecerse al tuyo, y este acelera para alejarse de su dueño. No solo eso, sino que se estrella contra la pared del estacionamiento y aterriza en la calle, varios pisos más abajo. Y luego está la escena en la que alguien que está manejando por Nueva York encuentra que su auto está siendo controlado remotamente, forzándolo a participar en el asalto coordinado a una limusina blindada.
Afortunadamente, si bien hay elementos reales en el hacking de autos de esta película, yo diría que los escenarios mostrados están mucho más allá de la tecnología y la logística actual. Empecemos por el hecho de que muy pocos vehículos en uso hoy tienen las capacidades de manejo autónomo suficientes como para participar en esa especie de mafia motorizada a alta velocidad organizada por los secuaces de Cipher, la villana de Rápidos y Furiosos 8, interpretada por Charlize Theron ("la definición de terrorismo de alta tecnología").
si la industria automotriz no colabora en conjunto, podríamos encontrarnos con el jackware en el mundo real
Yo no escuché de ningún caso en que los cibercriminales hayan tomado el control en forma remota de un vehículo en tránsito con fines maliciosos; hasta ahora es solo algo que potencialmente podría ocurrir. De hecho, mi desginación del término "jackware" tenía la intención de ser una precaución, una alerta al público sobre lo que podría avecinarse.
En otras palabras: si la industria automotriz no colabora en conjunto en el departamento de la ciberseguridad, podríamos encontrarnos lidiando con el jackware en el mundo real.
Claro que, como demostró el artículo de Wired en julio de 2015, el hacking de vehículos que tienen un variado set de funcionalidades digitales no es un invento, y hemos asistido a varios eventos donde se demostró que es factible. Además, muchos investigadores de ESET escribieron sobre el tema aquí, en WeLiveSecurity. Por ejemplo:
- Jackware: cuando los autos conectados conocen al ransomware
- Hacking de autos conectados: ¿de quién es la culpa?
- DEF CON: más y más "hacking cars"
- Un curso básico sobre hacking de autos
- Hackeando autos en Latinoamérica o cómo aprovecharse de su dispositivo integrado
- Hacking de autos en velocidad: cuando vulnerabilidades críticas se vuelven fatales
- 7 cosas que debes saber sobre el hacking de automóviles
Los dos investigadores detrás del ataque al Jeep en 2015 fueron Charlie Miller y Chris Valasek, quienes comenzaron a trabajar en la seguridad de transporte autónomo para Uber, no sin antes publicar dos documentos muy útiles sobre esta temática:
Considero que son de lectura obligatoria para cualquiera al que le interese esta cuestión. Por ejemplo, podrás darte cuenta de que hay múltiples barreras al tipo de hacking que se muestra en Rápidos y Furiosos 8. Cuando una funcionalidad como el auto estacionamiento permite que se controle el volante en forma remota o autónoma, habrá un control compensatorio para restringir la velocidad a la que esto pueda ocurrir. Entonces, para causar daño severo, no solo tendrías que tomar el control del código de la función de direccionamiento, sino que también tendrías que deshabilitar el código que limita la velocidad del vehículo bajo condiciones autónomas.
Uno podría hipotetizar que se abusará esta tecnología para organizar esos delitos a toda velocidad que Cipher comanda
Leer esos reporte también te permite estar al tanto de los nuevos desarrollos en este campo, como la creciente lista de funcionalidades potencialmente débiles que se propongan o implementen. La noticia del Jeep de 2015 incluso puso fin a un proyecto que había anunciado Jaguar Land Rover, basada en Reino Unido, que había dicho que crearía una aplicación móvil para que los conductores controlaran sus vehículos todoterreno en situaciones complejas, como estancamientos, sin tener que estar en su interior.
Mi primera reacción a esto, viniendo de alguien que ha pasado por esa experiencia, fue: "¡Qué bien!". Pero a eso le siguió rápidamente la pregunta que acecha a los expertos en seguridad, especialmente a aquellos que lidian con aplicación móviles infectadas con malware: "¿Qué podría salir mal?".
En un avance tecnológico algo diferente, en marzo Cadillac se convirtió en el primer fabricante en incluir comunicaciones vehículo a vehículo (V2V) en un vehículo de producción, lo cual me trae de vuelta a la película. Uno podría hipotetizar que se aprovechará el abuso de esta tecnología para organizar ese tipo de delitos a toda velocidad que Cipher comanda.
Puedes aprender más sobre V2V en el Departamento de Transporte de los Estados Unidos, que está promocionando esta tecnología. Para explorar qué podría salir mal con ella, mira este fascinante paper: Worm Epidemics in Vehicular Networks.
Zero days y magia de película
Cuando Cipher, el personaje de Charlize Theron, le pide a alguien de su pandilla que "encuentre todos los zero days" como preludio para tomar el control remoto de cientos de vehículos, te das cuenta de que se viene algo grande, si no enteramente plausible. No sería honesto si dijera que no disfruté viendo Rápidos y Furiosos 8, a pesar de su cuota constante de inverosimilitud (lo siento, pero los zero day no funcionan así, los torpedos tampoco, los autos no pueden ser hackeados así, y no, los autos no pueden ir en reversa tan rápido como hacen en cada una de estas películas).
Pero, ¿cuándo detuvo a una película la falta de realismo? Ciertamente no es un contratiempo para The Fate of the Furious, que solo necesitó tres semanas para llegar a la marca del billón de dólares en ganancias globales.
Para ser claro, no apoyo el uso de violencia como estrategia de resolución de problemas ni el uso de medios criminales para alcanzar beneficios sociales. Tampoco apruebo las carreras no autorizadas ni manejar sin cinturón de seguridad. Lo que sí apoyo es la diversidad y el respeto mutuo como claves para resolver problemas, algo que estas películas terminan demostrando.
Y en cuanto al hacking de autos, me gustaría que todos los que estén interesados jueguen siguiendo las reglas; y las hay, como esta guía para reportar vulnerabilidades de HackerOne, que opera un programa de recompensas para General Motors. También hay programas similares de Tesla y Fiat Chrysler en Bugcrowd.