En varias ocasiones, con motivo de los comentarios que suscitan las pruebas y entradas de este blog, hemos debatido aqu\u00ed acerca de los riesgos que supone la proliferaci\u00f3n de cada vez m\u00e1s y m\u00e1s electr\u00f3nica de control en el funcionamiento del autom\u00f3vil; y no digamos cuando se trata de recibir informaci\u00f3n desde el exterior, ya sea respecto a la simple navegaci\u00f3n (lo menos grave), o bien cuando afecta al manejo del veh\u00edculo, como en los casos de la conducci\u00f3n aut\u00f3noma o de la circulaci\u00f3n en caravana tras de un veh\u00edculo-gu\u00eda. Al respecto, se han podido leer opiniones encontradas, desde los que consideran que los \u201chackers\u201d no son un problema, y que es f\u00e1cil hacer inviolables todos los circuitos de comunicaci\u00f3n, hasta los que temen que, cuanto mayor sea la proliferaci\u00f3n de estos sistemas, m\u00e1s goloso resultar\u00e1 para esta gente interferir su funcionamiento, ya sea por simple y maligna diversi\u00f3n, ya sea por motivos m\u00e1s oscuros, da\u00f1inos y peligrosos.<\/p>\n
Personalmente, yo me inclino m\u00e1s bien por esta segunda hip\u00f3tesis; simplemente por desconfiado, ya que no tengo la menor cualificaci\u00f3n para dilucidar cu\u00e1les son los niveles de seguridad y peligrosidad en el env\u00edo y recepci\u00f3n de mensajes externos sobre aspectos tan sensibles como la gesti\u00f3n de la propulsi\u00f3n y trayectoria del veh\u00edculo que estoy conduciendo (o ni tan siquiera conduciendo) en un momento dado. Pero s\u00ed hay gente que entiende, y mucho, de este asunto; y es el personal de las empresas de seguridad cibern\u00e9tica, que tienen como profesi\u00f3n luchar contra la interferencia de los \u201chackers\u201d en el normal, correcto y seguro funcionamiento de todos los dispositivos electr\u00f3nicos de comunicaci\u00f3n y gesti\u00f3n de sus clientes.<\/p>\n
<\/p>\n
Y una de las empresas l\u00edderes en este sector es la rusa Kaspersky, que en el mundillo de la competici\u00f3n automovil\u00edstica tiene una notable presencia debido a que su logo aparece en los Ferrari de F\u00f3rmula 1, al ser a la vez socio tecnol\u00f3gico y anunciante para la marca de Maranello. Y el hecho de que sea una firma rusa (y no americana, ni japonesa, ni hind\u00fa, pa\u00edses todos ellos de gran tradici\u00f3n inform\u00e1tica) me hace pensar \u2013no s\u00e9 si por la misma desconfianza antes se\u00f1alada- que al acabar la \u201cguerra fr\u00eda\u201d se han ido quedando sin trabajo buen n\u00famero de t\u00e9cnicos altamente cualificados que ahora tienen que buscarse la vida.<\/p>\n
Sea como sea, en Kaspersky son l\u00edderes en ciber-seguridad; y acabo de encontrarme con unas declaraciones realizadas por Alexander Moiseev, Director Ejecutivo de Kaspersky para Europa. Lo bueno del asunto es que, aunque b\u00e1sicamente lo enfoca de cara a la seguridad y privacidad tecnol\u00f3gica en el mundo de la competici\u00f3n, tambi\u00e9n toca otros aspectos del tema que son comunes al autom\u00f3vil normal y corriente. Al fin y al cabo, con un mayor o menor nivel de velocidad, complejidad y potencia en las transmisiones, el problema es com\u00fan: garantizar la inviolabilidad y, por tanto, la seguridad de la electr\u00f3nica (sea in-board o out-board) que rige el funcionamiento del veh\u00edculo, sin riesgo de interferencias extra\u00f1as.<\/p>\n
Pues bien, todo empez\u00f3, por poner un punto inicial, en el Gran Premio de Australia de 1998, donde ocurri\u00f3 un acontecimiento ins\u00f3lito. El piloto Mika Hakkinen recibi\u00f3 una llamada por radio para entrar a boxes; s\u00f3lo que cuando lleg\u00f3 al suyo se lo encontr\u00f3 vac\u00edo: nadie le estaba esperando. Y es que alguien hab\u00eda localizado la frecuencia de la radio de McLaren, y hab\u00eda hecho entrar al coche, descabalando la estrategia planificada. Pues bien, seg\u00fan Moiseev, este hecho marc\u00f3 el inicio de algo que, potencialmente, puede ir a m\u00e1s; y estas son sus reflexiones:<\/p>\n
\u201cEste \u201chack\u201d de bajo nivel demostr\u00f3 lo vulnerables que eran por entonces los sistemas de la F\u00f3rmula 1; y con la incorporaci\u00f3n de nuevas tecnolog\u00edas electr\u00f3nicas en todos y cada uno de los elementos de la F.1, el actual riesgo potencial de ciber-crimen y espionaje es mayor que nunca. La industria automotriz est\u00e1 inmersa en una situaci\u00f3n hasta ahora desconocida de peligros de ciber-espionaje y amenazas electr\u00f3nicas malignas.\u201d<\/p>\n
Cabr\u00eda pensar que Moiseev, dado su trabajo, exagere los peligros; pero la verdad es que ya hemos tenido ejemplos de \u201chackers\u201d que se han metido incluso en los sistemas de la NSA (National Security Agency), la agencia federal americana que, por encima de la CIA, el FBI y dem\u00e1s organismos, maneja los hilos de las comunicaciones, su control e incluso el espionaje electr\u00f3nico. Y si incluso ellos han llegado a ser v\u00edctimas, ya se puede suponer lo que podr\u00eda ocurrirle a cualquier otro con menos medios para defenderse. De todos modos, Moiseev es bastante honrado, y deslinda los campos de forma suficientemente clara:<\/p>\n
\u201cEn t\u00e9rminos de ciber-seguridad, la F\u00f3rmula 1 es un tanto distinta respecto a otras \u00e1reas de la industria automotriz. La transferencia de datos es m\u00e1s r\u00e1pida, y la cantidad de los mismos mucho mayor, as\u00ed que es preciso controlarlo de un modo distinto. En la ciber-seguridad cl\u00e1sica, se pueden identificar ocasionalmente amenazas que en realidad no son tales, y no pasan de ser que un programa o una l\u00ednea de codificaci\u00f3n se han bloqueado, o no \u201ccorren\u201d adecuadamente. En un PC o en un tel\u00e9fono m\u00f3vil no generar\u00edan m\u00e1s que un moment\u00e1neo sobresalto del usuario; pero en un coche de F.1 podr\u00eda ser la causa de que el motor se apagase y dejase al coche fuera de la carrera. En la F.1 no se puede tener un \u201cfalso positivo\u201d, de modo que el nivel de protecci\u00f3n tiene que estar al absoluto m\u00e1ximo. Hay mucha ciber-malicia en la F.1, especialmente dirigida a los smartphones. En la F.1 se concentra un gran n\u00famero de personas \u201csensibles\u201d en un espacio reducido, y por lo tanto v\u00edctimas atractivas para ser pirateadas. Pero tambi\u00e9n est\u00e1 presente la amenaza del espionaje, o incluso sabotaje industrial: el smartphone del operario que est\u00e1 en el taller de montaje de los F.1 deber\u00eda estar blindado; de lo contrario, es otro punto de entrada.\u201d<\/p>\n
Pero ahora avanzamos un paso m\u00e1s, y Moiseev empieza a hablar del problema que se le plantea a la industria automotriz en general; y lo que dice resulta todav\u00eda m\u00e1s interesante \u2013y tambi\u00e9n m\u00e1s preocupante- que lo exclusivamente centrado en el mundillo de la competici\u00f3n en F\u00f3rmula 1:<\/p>\n
\u201cPero en la industria automotriz algunas cosas tambi\u00e9n son similares. Ya no oyes a la gente hablando de la amenaza cl\u00e1sica de un virus malicioso que infecte tu software; la tendencia actual es la de preocuparse por lo que llamamos APT (Advanced Persistent Threat, o sea Amenaza Avanzada y Continua). Para combatir esto necesitamos comprender el comportamiento de los datos, y reaccionar en cuanto veamos algo an\u00f3malo. En un concepto cl\u00e1sico de seguridad f\u00edsica, si vemos a un individuo con un arma de fuego lo consideramos como una amenaza, sin m\u00e1s; pero en t\u00e9rminos de APT, un hombre con un arma de fuego en un campo de batalla, en primer lugar es simplemente normal, y en segundo lugar incluso podr\u00eda ser nuestro camarada. Pero un hombre con un arma de fuego en una playa llena de ba\u00f1istas s\u00ed que es una amenaza; del mismo modo que un ni\u00f1o en traje de ba\u00f1o en la playa es lo normal, mientras que ese ni\u00f1o en traje de ba\u00f1o en pleno campo de batalla sin duda es un problema, e incluso podr\u00eda ser una amenaza (trampa). Este es el enfoque hacia el que est\u00e1 derivando actualmente la ciber-seguridad.\u201d<\/p>\n
Tras de una comparaci\u00f3n entre las exigencias de la F.1 y del coche de venta al p\u00fablico, Moiseev sigue profundizando en el caso de este \u00faltimo:<\/p>\n
\u201cNo tiene nada de sorprendente que las empresas de ciber-seguridad se est\u00e9n dedicando a la competici\u00f3n automovil\u00edstica de alto nivel, puesto que el entorno de desarrollo agresivo, secretismo y competitividad no es m\u00e1s que una versi\u00f3n m\u00e1s peque\u00f1a, pero m\u00e1s r\u00e1pida de movimientos, de lo que ocurre a un nivel m\u00e1s amplio en la industria automotriz. En una evoluci\u00f3n paralela a lo que ocurre en la F.1, la cantidad de sistemas electr\u00f3nicos en los coches de turismo se va incrementando continuamente. Actualmente, un piloto de F.1 s\u00f3lo controla directamente la direcci\u00f3n y los frenos delanteros sin que medie la intervenci\u00f3n de un ordenador; pues bien, en algunos coches de producci\u00f3n normal ese control es todav\u00eda menor.\u201d<\/p>\n
Y contin\u00faa remachando la argumentaci\u00f3n:<\/p>\n
\u201cLa conectividad, y cada paso adelante en dicha \u00e1rea, trae aparejada con ella nuevas amenazas; y hay que analizar todos los potenciales puntos de entrada de dichas amenazas. Si observamos un turismo actual, estamos ante una colecci\u00f3n de unos 40 ordenadores: es una red computerizada. Sin ir m\u00e1s lejos, fij\u00e9monos en el \u201cpark assist\u201d: gira el volante y maneja el acelerador y el freno, y todas esas operaciones est\u00e1n controladas por la red de ordenadores; es f\u00e1cil comprender que si algo de ello es \u201chackeado\u201d tenemos un problema.\u201d<\/p>\n
Y la conclusi\u00f3n final es demoledora:<\/p>\n
\u201cUno de los problemas de la ciber-seguridad es que, tanto en la competici\u00f3n automovil\u00edstica como en su industria de producci\u00f3n en serie, la electr\u00f3nica se ha ido desarrollando exclusivamente para fines operativos, concediendo a trav\u00e9s del tiempo poca o casi ninguna atenci\u00f3n a potenciales debilidades en t\u00e9rminos de ser pirateada. Las empresas de ciber-seguridad est\u00e1n intentando luchar contra ello, pero no es una batalla f\u00e1cil. La electr\u00f3nica de los coches est\u00e1 siendo dise\u00f1ada de cara a su funcionamiento en carretera, sin tener espec\u00edficamente en cuenta la ciber-seguridad. As\u00ed que, a medida que van estando cada vez m\u00e1s conectados con el exterior y entre s\u00ed mismos, se convierten en v\u00edctimas cada vez m\u00e1s f\u00e1ciles. Por ello, los especialistas en ciber-seguridad hacemos pruebas de \u201cpenetraci\u00f3n\u201d en los sistemas para buscar los puntos d\u00e9biles y los agujeros m\u00e1s obvios que precisan ser protegidos. Los trabajos en este campo se van desarrollando poco a poco, pero actualmente constituye un gran problema para la industria automotriz.\u201d<\/p>\n
La definici\u00f3n que finalmente hace Moiseev de ciber-seguridad nos enfrenta a la magnitud del problema: \u201cSe trata de que la inversi\u00f3n econ\u00f3mica necesaria para conseguir la penetraci\u00f3n sea mayor que el beneficio a obtener si la penetraci\u00f3n se consigue.\u201d En otras palabras: no hay garant\u00eda absoluta, sino que se trata do pon\u00e9rselo demasiado caro a los \u201chackers\u201d. Pero esto me lleva a mi consideraci\u00f3n final:<\/p>\n
Existen, creo yo, dos grandes grupos de \u201chackers\u201d: los que trabajan en plan industrial \u2013por encargo de una gran corporaci\u00f3n o son ya miembros de la misma- o los que van por libre, ya sea por despecho al haber sido despedidos por malas pr\u00e1cticas en una empresa de cibern\u00e9tica, o porque son especialistas en este campo pero tambi\u00e9n son, o bien gamberros \u201cgraciosos\u201d, o bien enemigos (con raz\u00f3n o sin ella, que eso es otra cuesti\u00f3n) de la cada vez mayor invasi\u00f3n de esta tecnolog\u00eda en nuestra vida cotidiana. Y entonces, la patada a esa industria tecnol\u00f3gica y a la propia tecnolog\u00eda en s\u00ed, se la pegan (como casi siempre ocurre en estos casos) en el culo del usuario com\u00fan y corriente, que no tiene arte ni parte en esa pelea.<\/p>\n
Podr\u00e1 opinarse que, como ya se dijo y dada su profesi\u00f3n, el se\u00f1or Moiseev tienda a exagerar los riesgos; pero cuando hemos tenido ejemplos como el de la NSA que al principio cit\u00e9, y realizado por unos aficionados simplemente para divertirse (recordemos la ya veterana pel\u00edcula \u201cJuegos de guerra\u201d de John Badham, de hace m\u00e1s de 30 a\u00f1os), la cosa no es como para estar muy tranquilos.<\/p>\n
Moiseev cita el ejemplo del \u201cpark assist\u201d como potencial fuente de conflictos; a m\u00ed se me ocurre no ya la conducci\u00f3n aut\u00f3noma en general, sino la de \u201cen caravana\u201d en particular, siguiendo varios coches a un cami\u00f3n-gu\u00eda a corta distancia unos de otros, para beneficiarse del efecto aerodin\u00e1mico. Si ya el seguir a un cami\u00f3n grande (y opaco) me produce desaz\u00f3n, y procuro quit\u00e1rmelo de delante cuanto antes, no quiero ni imaginarme lo que me ocurrir\u00eda si voy metido en una de estas procesiones y sin tocar los mandos, confiando simult\u00e1neamente en la Divina Providencia y en Santa Electr\u00f3nica (no s\u00e9 si a partes iguales, o no).<\/p>\n
Y aunque sea sin la intenci\u00f3n maliciosa de causar da\u00f1os f\u00edsicos y personales, pensemos en la que podr\u00eda liarse si un \u201chacker\u201d consigue entrar en una de las nuevas y cada vez m\u00e1s desarrolladas redes de \u201ce-Call\u201d, y se l\u00eda a enviar ambulancias y gr\u00faas a los puntos que se le ocurra, s\u00f3lo por divertirse. Y no me digan que es imposible conseguir fingir unos datos de localizaci\u00f3n GPS sin estar f\u00edsicamente all\u00ed; no entiendo ni papa de todo esto. Pero considero que, para la gente que domina el tema, no ser\u00e1 misi\u00f3n imposible, ni mucho menos.<\/p>\n
Lo que s\u00ed s\u00e9, y a ciencia cierta, es que un carburador no pod\u00eda ser manipulado a distancia, ni tampoco una direcci\u00f3n asistida hidr\u00e1ulica (de la el\u00e9ctrica, si hay parte electr\u00f3nica, ya no estar\u00eda tan seguro). Ni tampoco eran manipulables los elevalunas manuales, ni el cierre de puertas con llave, ni el motor de arranque accionado por dicha llave. En la actualidad, y en la proximidad de edificios u organismos oficiales fuertemente protegidos (quiz\u00e1s por alguna empresa como Kaspersky), seguimos teniendo problemas para estas dos acciones (acceso y arranque) d\u00eda s\u00ed y d\u00eda tambi\u00e9n.<\/p>\n
En fin, el guante est\u00e1 arrojado. Ya s\u00e9 que hay partidarios de una y otra posici\u00f3n entre los habituales contertulios de este blog; as\u00ed que aqu\u00ed tienen una buena oportunidad para debatir. Y creo que no se trata de uno de los temas provocativos que tanto le gustan a Javier Molt\u00f3, sino que detr\u00e1s de ello hay un problema muy serio; as\u00ed que adelante.<\/p>\n","protected":false},"excerpt":{"rendered":"
En varias ocasiones, con motivo de los comentarios que suscitan las pruebas y entradas de este blog, hemos debatido aqu\u00ed acerca de los riesgos que supone la proliferaci\u00f3n de cada vez m\u00e1s y m\u00e1s electr\u00f3nica de control en el funcionamiento del autom\u00f3vil; y no digamos cuando se trata de recibir informaci\u00f3n desde el exterior, ya […]<\/p>\n","protected":false},"author":46,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[3910],"tags":[4553,11253],"class_list":["post-14712","post","type-post","status-publish","format-standard","hentry","category-curvas-enlazadas","tag-electronica","tag-hacker"],"yoast_head":"\n