Hace tiempo que los coches son, sobre todo, ordenadores sobre ruedas. Los avances tecnológicos que han sido integrados en los últimos tiempos los convierten en maravillas técnicas y muy, muy confortables. El problema es que todos esos avances tienen una peligrosa contrapartida.
Hace casi una década que los hackers éticos, los llamados ‘de sombrero blanco’ avisaron en el célebre evento Def Con. Los coches conectados planteaban riesgos en el ámbito de la ciberseguridad, y dos expertos llamados Charlie Miller y Chris Valasek demostraron que ya entonces había diversos modelos con vulnerabilidades de distinto alcance.
Desde entonces la tecnología está cada vez más presente, así que el problema se ha agravado. En 2015 esos mismos hackers lograron controlar remotamente un Jeep Cherokee —girar el volante, frenar y acelerar— si el coche iba a muy bajas velocidades. La firma acabó retirando temporalmente 1,4 millones de vehículos para solucionar el problema. En 2016 la cosa se puso seria: lo podían hacer sin importar la velocidad.
Aquel célebre hackeo ha hecho que la amenaza sea patente, pero de cuando en cuando los expertos vuelven a recordar hasta dónde pueden llegar las cosas. A finales de 2022 un investigador llamado Sam Curry evaluó la ciberseguridad de varios fabricantes y sistemas telemáticos y descubrió vulnerabilidades y agujeros de seguridad por todas partes.
Los servicios remotos que permiten que podamos ver el estado del coche o encender la calefacción o el aire antes de usarlos son un buen ejemplo de estos riesgos. Curry demostró cómo coches de Acura, Honda, Infiniti, Kia o Nissan pueden ser hackeados si tenemos su número de identificación. COn ello sería posible localizar y abrir esos coches, arrnacarlos, pararlos o hacer sonar sus cláxones.
Servicios como LoJack permiten acceder a soluciones de conectividad útiles para el acceso remoto a datos de nuestro vehículo, pero este investigador detectó múltiples agujeros de seguridad que permitirían a los hackers lograr «acceso completo de administrador al panel de administración a nivel de compañía y la capacidad de enviar comandos arbitrarios a un número estimado de 15,5 millones de vehículos (abrir, arrancar, deshabilitar el starter), localizarlos o actualizar su firmware».
Los problemas afectan a los coches, pero también a los sistemas internos de los fabricantes. Curry pudo infiltrarse en los de Mercedes-Benz, BMW y Rolls-Royce y acceder a información confidencial e incluso a los repositorios de GitHub o las salas de chat utilizadas por los empleados de estas empresas.
En Ars Technica se pusieron en contacto con los fabricantes y hay noticias algo tranquilizadoras: todos ellos están al tanto de los problemas descritos por Curry en su informe, y hay soluciones en desarrollo y en algunos casos parches para cubrir estas vulnerabilidades. Que se sepa, no ha habido vehículos ni cuentas afectadas, pero es evidente que estas amenazas crecerán en el futuro y que hace falta que los esfuerzos para evitar estos problemas deben hacerlo también.