A la mañana siguiente de haber estacionado su Saab 9-3 Estate, lo único que encontró Laura Capehorn fue un hoyo con forma de auto en la nieve.
Esta diseñadora de interiores había dejado el vehículo frente a la casa de su suegra en Shepherd's Bush, Londres, una noche de enero de 2014. A la mañana había desaparecido, supuestamente robado.
La policía pidió de inmediato ver la llave del auto y no se sorprendió al descubrir que era un llavero electrónico. Había visto un aumento de delincuentes con conocimientos tecnológicos que usaban un sistema de clonación de llaves para acceder a vehículos de alto valor. Una vez adentro, los ladrones huyen en cuestión de segundos.
"Es escandaloso lo fácil que resulta robar un auto de esta forma", dice Capehorn. "Sobre todo teniendo en cuenta que casi todos los autos nuevos utilizan este tipo de llaves".
El ciber-delito automotor es un negocio floreciente. El año pasado en Londres solamente se robaron alrededor de 6 mil autos y camionetas utilizando esta piratería de acceso sin llaves –esto representa 42% de todos los robos de vehículos, según la Policía Metropolitana de la ciudad.
Dado que cada vez vienen provistos de más tecnología, con conectividad a Internet y estacionamiento, frenos y detección de obstáculos automáticos, los autos se tornan más vulnerables a los ciberataques –tanto de quienes intentan robar el vehículo o dañar a un individuo como por activismo.
'Todo lo relacionado con Internet puede ser pirateado –incluidos los autos'.
En un reciente ciberataque a un Jeep Cherokee, los piratas tomaron el control a distancia del volante y los frenos del auto que iba por la autopista. Esto convirtió a la ciberseguridad en prioridad para los fabricantes de autos.
Se trató de un experimento controlado llevado a cabo por dos hackers 'virtuosos' y no de un ataque malicioso. Sin embargo, pudieron verse claramente los posibles riesgos y el fabricante del Jeep, Fiat Chrysler, retiró del mercado 1.4 millones de vehículos para resolver el fallo de seguridad.
Teniendo en cuenta que cada vez son más los automóviles que están online –conforme el gigante de la electrónica japonés, Hitachi, predice que 90% de todos los vehículos estarán conectados a Internet en 2020- es fundamental considerar algunas de las vulnerabilidades que ya se están dando.
Son muchos los modelos en riesgo, incluidos BMW, Mercedes, Audi, Land Rover y Saab. En teoría, con sus llaves modernas los autos son muy seguros; el auto no puede arrancar a menos que reciba una señal única del llavero. Pero la venta no regulada de equipos para programación de llaves hace que los delincuentes puedan crear fácilmente copias.
En el ataque contra el Jeep se apuntó al sistema de entretenimiento y navegación conectado a Internet a través de una red de telefonía móvil.
El problema reside en "puertas abiertas de par en par verdaderamente estúpidas" en la computadora 'telemática' a bordo del auto (utilizada para navegación y diagnóstico), según Jens Hinrichsen, gerente general de Interface Products en NXP, que fabrica microchips para vehículos conectados. Los accesorios conectados a Internet vuelven actualmente mucho más vulnerable el auto a un ciberataque remoto, dice.
Los expertos sostienen que los autos necesitan una mejor arquitectura de seguridad para mantener los sistemas de entretenimiento, de telemática y las funciones fundamentales separados por cortafuegos y con comunicación encriptada entre sí.
Para Tim Watson, director del Centro de Ciber-Seguridad en la Universidad de Warwick, "Los piratas activistas pueden divertirse mucho provocando embotellamientos de tránsito mientras que los grupos terroristas pueden querer desviar el auto de una persona hasta el punto de una emboscada o un secuestro".
Los atacantes no aprovechan todos los riesgos a la seguridad –sobre todo cuando no hay un incentivo financiero para los delincuentes o un valor de impacto para los terroristas y piratas activistas", dice Watson.
Los fabricantes de autos deben concentrarse en amenazas plausibles, agrega: "La ciberseguridad es una actividad centrada en el ser humano y debemos mezclar una buena seguridad con protecciones perspicaces fundadas en las conductas de los atacantes y las víctimas".