Entrevistas

Restrepo: «Que las marcas cuiden más los frenos que las apps de sus coches es un gran problema»

El reconocido investigador Jaime Andrés Restrepo, que demostró en 2014 los problemas de ciberseguridad de un gigante como General Motors, nos habla en exclusiva del futuro de los ciberataques a coches, da consejos a los usuarios... y también a los fabricantes de automóviles.

Imagen creativa en la que un teléfono móvil se ve extendido, convirtiéndose en una carretera por la que circulan varios vehículos

En 2014, conseguiste obtener datos privados de usuarios que utilizaban el sistema Chevy Star de los modelos de GM. ¿Hoy en día sería posible realizar un ataque similar en otro modelo?

En muchos modelos de los grandes fabricantes, se está viendo la tendencia a integrar tecnologías que permiten interactuar con el vehículo de formas no tradicionales, por ejemplo utilizando aplicaciones en el teléfono móvil para interactuar con una gran cantidad de sus funciones, no todas las empresas se toman en serio la seguridad de esas plataformas porque no son su prioridad, son un plus para el vehículo y no le prestan el mismo cuidado que le prestarían a elementos que tradicionalmente han sido más importantes como podrían ser los frenos, ahí es donde radica el problema y la razón por la que no solo estaremos escuchando de fugas de información como la que se descubrió en su momento, sino de muchos más fallos en vehículos modernos durante los próximos años.

¿Qué hizo GM después de descubrir la vulnerabilidad de su sistema Chevy Star?

Al principio se notificó por los canales que teníamos a la mano para ello, principalmente los disponibles por medios digitales, esperamos casi un año respuesta y no se consiguió ninguna, fue cuando se decidió publicar la investigación en varios eventos internacionales, que se consiguió llamar la atención de las personas adecuadas dentro de la compañía y logramos no solo que revisaran los problemas y se solucionaran, sino que nos contrataran para auditar varias de sus versiones.

En este momento trabajas en DragonJAR, que colabora con marcas como Honda y Toyota. Como hacker, ¿qué tiene de bueno y de malo trabajar para otros?

La principal diferencia es que cuando lo haces por tu cuenta, ademas de los problemas legales que podrías llegar a conseguirte por alimentar tu curiosidad, la gran mayoría de las veces tienes que enfrentarte a muchos obstáculos, que de estar contratado por la empresa, resolverías con una simple llamada telefónica, es como estar conduciendo en una ciudad desconocida solamente utilizando las indicaciones que te dieron por teléfono, o hacer lo mismo, pero utilizando un GPS, seguro con los dos se puede llegar a tener los mismos resultados, pero con la guía del GPS llegas más rápido.

¿Las marcas son receptivas cuando se trata de mejorar la ciberseguridad de sus modelos?

Lo que nos solemos encontrar es que no existe mucha cultura relacionada con la seguridad informática, suelen ser industrias muy tradicionales y les da igual poner un reproductor de casetes, uno de DVD o un centro multimedia que administra todo el vehículo desde una pantalla táctil, casi siempre ven los elementos tecnológicos como un accesorio más, que incluso su desarrollo puede estar encargado a terceros y ellos solo ensamblan.

Por eso solemos mostrar los posibles problemas que pueden llegar a tener sus clientes al utilizar tecnología con problemas de seguridad y trabajamos no solo en detectar los problemas y acompañar en la solución de los mismos, sino en crear esa cultura de seguridad.

¿Qué tres consejos básicos le darías al conductor de un coche conectado?

El primero es conocer el alcance de los dispositivos integrados con el vehículo, normalmente con leer el manual del coche o hacer una llamada a soporte, te darás cuenta de todo lo que puede hacer tu vehículo y que posiblemente ignorabas.

Ya conociendo los servicios que tienes y no piensas utilizarlos, lo recomendable es deshabilitarlos desde el minuto cero, entre menos ventanas abiertas tengas, menos probabilidades de que alguien entre a través de ellas.

No existe mucha cultura relacionada con la seguridad informática las marcas suelen ser industrias muy tradicionales

Si piensas usar las funciones «smart» de tu vehículo, personalízalas, cambia las contraseñas por defecto, los nombres de las redes, configura tu automóvil para que sea único y así evites caer en ataques simples o incluso ataques en masa que intenten aprovecharse de estas configuraciones por defecto.

¿Los ciberataques contra vehículos irán a más? ¿Están las marcas preparadas para ciberproteger a los usuarios de un coche conectado?

Los ataques a vehículos ‘inteligentes’ llegaron para quedarse, muchas personas piensan que es ciencia ficción, por que el cine nos ha hecho volar la imaginación por años sobre lo que se podría hacer, pero hoy muchas de las cosas que se muestran en la gran pantalla son totalmente viables en vehículos inteligentes; en el episodio 1 de la tercera temporada de la serie ‘Mr robot’ (2017), se muestra una escena donde utilizando el sistema On Star, lograban inmovilizar un vehículo, On Star es la marca comercial para Estados Unidos de Chevy Star, sistema del que publicábamos fallos parecidos a los usados en la serie por el año 2014.

Mientras más tecnología se incorpore a los vehículos, más crece su superficie de ataque y será más simple encontrar problemas de seguridad, los fabricantes son conscientes de estos problemas y cada vez invierten más en temas de seguridad informática, muchos incluso participan activamente en programas de bugbounty para premiar económicamente a los investigadores que encuentren problemas de seguridad en sus vehículos, lo que muestra un gran interés de la industria por mejorar en este aspecto.

¿Qué fabricante está haciendo más por cuidar la ciberseguridad de sus modelos?

Personalmente pienso que Tesla Motors es quien hace más por cuidar la seguridad informática en sus vehículos, se puede ver por su participación en diferentes eventos enfocados en seguridad informática, donde motiva a los investigadores a encontrar problemas en sus modelos más actuales, por generar programas de recompensa que alcanzan cantidades de más de 13.000 euros por fallo reportado y por contar con un diseño que tuvo en cuenta desde el principio la actualización constante de su sistema, como si se tratara de un producto propio de una casa de software y no de un fabricante de vehículos, lo que le permite resolver rápidamente problemas de seguridad en toda su flota de vehículos con una simple actualización remota.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.