Entrevistas

«Los coches tienen cada vez más vectores de ataque»

La última edición de la RootedCON nos permitió conocer en persona a Amador Aparicio, uno de los principales exponentes del 'car hacking' en nuestro país.

Al menos en materia de ‘car hacking’, «Spain is not different». Aunque esta rama de la seguridad informática todavía está dando sus primeros pasos, ya contamos en nuestro país con expertos como Amador Aparicio de la Fuente.

Natural de Palencia, este ingeniero informático -y profesor- ha pasado buena parte de su tiempo analizando los intercambios de datos que se suceden entre los distintos componentes electrónicos de los vehículos. El resultado de este trabajo pudo verse en su ponencia «Fuzzing and Reversing your Car. Are you sure?», la cual formó parte del programa de la décima edición de la RootedCON.

Nuestra curiosidad por este campo hizo que quisiéramos hablar con él y conocer su visión acerca de la ciberseguridad presente en los automóviles de hoy… y del mañana.

¿HACIA DÓNDE CREES QUE EVOLUCIONA EL MUNDO DE LA CIBERSEGURIDAD APLICADA AL MOTOR?
Básicamente evoluciona en el sentido de que, en lo mismo que en el hacking tradicional se han preocupado por securizar los sistemas y que nadie pueda acceder a la información que éstos tienen, lo que se tendría que proporcionar es una serie de mecanismos que impidieran leer la información de los ordenadores personales de los coches y de sus unidades de control electrónico. Hoy, eso se está protegiendo.

Yo he enseñado aquí (se refiere a su ponencia en la RootedCON) cómo obtener el programa que llevan esos sistemas embebidos, pero ya las ECUs, concretamente, incorporan tanto mecanismos de software como de hardware para que no se puedan obtener esos datos, evitando el ‘tampering’ del circuito que mantiene la información.

No hay que perder de vista que los coches tienen cada vez más vectores de ataque, ya que cada vez tienen más sensores. Hay que cubrir todo ese espacio para que el coche no proporcione cierta información. A través de los sensores de presión, por ejemplo, se puede saber la presión de las ruedas. Si es un sensor único, además, se puede averiguar la matrícula, o a quién puede pertenecer el coche. Pienso que se tendría que vigilar que no se pueda identificar a las personas por la información que proporcionan sus coches.

¿CUÁL DIRÍAS QUE ES EL MAYOR FALLO QUE ESTÁN COMETIENDO, HOY EN DÍA, LOS FABRICANTES DE COCHES EN MATERIA DE CIBERSEGURIDAD?
Por una parte tenemos que tener en cuenta las ventajas que nos puede proporcionar la usabilidad de los coches o -mejor dicho- sus comodidades, como el Wifi, la ergonomía, el aire acondicionado…

Y por otro lado, tenemos que pensar si esa ergonomía es beneficiosa o se puede compatibilizar con el mundo de la ciberseguridad. Cuantas más funcionalidades tenga un coche, mayor va a ser la superficie de exposición [ante ciberataques] de ese coche.

¿EXISTEN SOLUCIONES QUE UN USUARIO NORMAL PUEDA ADOPTAR PARA CIBERPROTEGER SU COCHE? ¿CUÁLES SERÍAN?
Hay soluciones sencillas, como no permitir que el coche se conecte por WiFi -o directamente, no equipar ese módulo-, y otras mucho más técnicas y complicadas. De hecho, se están elaborando trabajos de investigación para que, en el caso de que se pueda inyectar algo en la red de comunicaciones del coche, el propio sistema pueda determinar si ese inserto es o no anómalo, y descartarlo en caso afirmativo.

¿Qué implica eso? Que cada cierto tiempo, el coche tenga que mandar información a un centro de proceso de datos en tiempo real para poder detectar este tipo de anomalías. Claro que, si queremos que los transportes sean realmente seguros, en lugar de sólo un coche tendremos que pensar en [la combinación de] un coche y este proceso de datos.

¿CÚALES CREES QUE SON LOS HACKERS DE REFERENCIA RELACIONADOS CON EL MOTOR Y LA CIBERSEGURIDAD DENTRO DE NUESTRO PAÍS? ¿Y EN EL MUNDO?
En el mundo, te diría Sheila A. Berta, y su compañero Claudio Caracciolo. También estarían el doctor Charlie Miller o Chris Valasek, que han sido -por decirlo de alguna forma- pioneros en esto. Y también mencionaría a Jaime Andrés Restrepo, de la comunidad DragonJAR que, hace dos o tres años, demostró cómo se podía hackear un coche en directo. En España… pues nosotros, Jordi Serra… ¡y yo! (se ríe)

¿QUÉ OPINAS DE INICIATIVAS COMO EUROCYBCAR, QUE EVALÚAN LA CIBERSEGURIDAD DE LOS VEHÍCULOS?
Si alguien consigue manipular o acceder a los datos que viajan por un coche, lo que puede hacer es conseguir que ese coche funcione de manera muy diferente para la que fue pensada. Y no tenemos que perder de vista que en un coche, hoy en día, van personas dentro.

Creo que se tendría que considerar como una infraestructura crítica, incluso a nivel de un país. Todo lo que sea mejorar la seguridad del coche, de los ocupantes y de la gente que está alrededor de los coches me parece una iniciativa muy buena, como también que se haya tomado conciencia de la importancia de la ciberseguridad en los medios de transporte, y no sólo en los coches.

Diego García
Licenciado en Periodismo, comencé mi andadura en prensa local con el Heraldo de Soria y terminé haciendo labores de comunicación para la Biblioteca Digital del Ayuntamiento de Madrid. Agradecido de poder expresar con mi trabajo mi amor por los coches. Petrolhead a tiempo completo y, cuando no estoy trabajando, pilotillo en simuladores de conducción. Sólo estoy vivo cuando estoy en la carretera. Creo firmemente en un uso responsable de la tecnología. Por ello, mi cometido aquí es contribuir a que la sociedad pierda el miedo frente a los avances y cambios que trae.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.