Un equipo de hackers participó en la conferencia de hacking Pwn2Own 2023 en Vancouver, donde ganaron un Tesla Model 3 y algo más de 91.000 euros por un interesante hallazgo. Y es que demostraron que el Model S -la berlina grande de la firma de Elon Musk- cuenta con vulnerabilidades que permite ciberatacar el coche… en apenas un par de minutos.
La empresa francesa Synacktiv, especializada en pruebas de penetración y auditorías de seguridad, aprovechó dos vulnerabilidades diferentes para acceder a todas las ‘interioridades’ de este vehículo eléctrico -además, no tuvieron problema en compartir sus hallazgos para demostrar cómo lo habían hecho-.
En el primer ataque, accedieron al sistema de gestión de energía Gateway de Tesla, lo que les permitía abrir el maletero o la puerta delantera del coche, incluso cuando el vehículo se encontraba en movimiento. El ataque duró menos de dos minutos y les valió un Tesla Model 3 nuevo como recompensa, así como un premio en metálico de alrededor de 90.000 euros -además, también encontraron vulnerabilidades en otros dispositivos que no son automóviles y, al final del evento, casi lograron medio millón de euros en ‘recompensas’-.
En el segundo ataque, aprovecharon una “vulnerabilidad de desbordamiento y un error de escritura fuera de los límites en un chip Bluetooth” para acceder al sistema de infoentretenimiento de Tesla. A partir de ahí, obtuvieron el acceso raíz a otros subsistemas, lo que significa que tenían todos los privilegios del dispositivo y podían tomar el control absoluto del coche.
El equipo recibió un premio de nivel 2 de la Zero Day Initiative, siendo la primera vez en la historia de la competición -organizada por Trend Micro y la firma de seguridad global Pwn2Own- que un equipo alcanza ese premio. No fueron los únicos ganadores, pues en este certamen, además del coche, se repartieron premios económicos por casi un millón de euros.
El proceso y las consecuencias para el fabricante
Técnicamente, el hackeo del Tesla no se realizó dentro del coche, ya que la pantalla de infoentretenimiento se retiró del vehículo para evitar cualquier comportamiento inesperado del propio coche a raíz del ataque. Aún así, el display permitió ejecutar el sistema operativo del vehículo como si estuviera en el propio vehículo.
Aunque a primera vista pueda sorprender que se organicen competiciones de piratería informática, en realidad es una práctica que los fabricantes de automóviles llevan a cabo desde hace tiempo con el fin de mejorar la ciberseguridad de sus vehículos.
Son los denominados ‘bug bounty’ y por ellos, algunas marcas ofrecen recompensas para quienes detecten una vulnerabilidad en sus sistemas, como Tesla, que llega a pagar cerca de 13.500 euros por cada hallazgo reportado y demostrable con evidencias.
Sin embargo, estos retos y el hecho de animar a la gente a ‘hackear’ los vehículos por parte de las marcas y lanzar esa propuesta al público en general, quizá puede convertirse en un arma de doble filo que atraiga a crackers y ciberdelincuentes.
Con todo, el continuo hallazgo de vulnerabilidades y noticias que afectan a la ciberseguridad de las marcas -ya sea de las que afectan a sus modelos, a sus concesionarios o a sus oficinas centrales-, es un recordatorio más sobre la importancia de ciberproteger los vehículos. Además, muchos de los ataques producidos en la serie histórica de los últimos diez-once años, demuestran que cualquier modelo, con un mínimo de tecnología, ya puede sufrir un problema de este tipo.
Y a medida que los automóviles se vuelven cada vez más conectados y autónomos, se van a volver también aún más vulnerables a los ataques informáticos. Los fabricantes de automóviles deberían ser proactivos en la implementación de medidas de seguridad robustas para proteger a los conductores y a los pasajeros.
Además, hay que recordar que desde julio de 2022, todos los modelos de nueva homologación que lleguen a la Unión Europea -entre otras regiones- deben ser ciberseguros, en el sentido de contar con un certificado emitido por una entidad independiente que demuestre que estamos ante un vehículo capaz de cumplir una serie de requisitos que confirmen el nivel de ciberseguridad del modelo en cuestión.
Recordamos que fue una empresa vasca, concretamente EUROCYBCAR, la primera en todo el mundo en desarrollar un test que mide la ciberseguridad de un vehículo, aplicando una metodología propia denominada ESTP -EUROCYBCAR Standar Test Protocol-.
Aparte de ese hito, cabe recordar que hace algo más de un año, el primer modelo que pudo demostrar que era ciberseguro fue una moto eléctrica, la Nuuk Cargopro -una firma también vasca-, que ha obtenido el certificado en ciberseguridad en vehículos de AENOR y EUROCYBCAR -cuya CEO y fundadora es Azucena Hernández–.
¿Las marcas comienzan a reaccionar?
La seguridad informática comienza, paulatinamente, a convertirse en una preocupación creciente para los fabricantes de automóviles. El año pasado, Ford anunció una inversión de 500 millones de dólares en la empresa de vehículos autónomos Argo, para desarrollar tecnologías de ciberseguridad en sus futuros vehículos autónomos. La empresa también está trabajando en la creación de un centro de ciberseguridad de alta tecnología en Michigan.
A pesar de los avances en la seguridad informática de los coches, los hackers siguen encontrando vulnerabilidades en las tecnologías incorporadas por los fabricantes de automóviles. Unos fabricantes que deben seguir trabajando en la implementación de medidas de seguridad robustas para proteger a los conductores y a los pasajeros.
Pero a mejorar la ciberseguridad en la movilidad también es una tarea para empresas independientes; es el caso de EUROCYBCAR, empresa tecnológica radicada en Vitoria-Gasteiz que cuenta en su haber con dos hitos mundiales. En primer lugar, haber desarrollado el primer test de la historia que mide el nivel de ciberseguridad de un vehículo, en base a una metodología propia, conocida como ESTP -EUROCYBCAR Standard Test Protocol, con patente mundial- y de acuerdo a la normativa UNECE/R155 -por cierto, desarrollada posteriormente al test de EUROCYBCAR-.
En segundo lugar, por haber hecho entrega -junto a AENOR- del primer certificado en ciberseguridad en vehículos del mundo, conseguido por la moto eléctrica Nuuk CargoPro, otorgado hace algo más de un año.
