Gatos, bolsas… y automóviles hackeados

Cat out of the bagUn investigador de la Universidad de Birmingham, Flavio García, ve como los tribunales, a instancias de Volkswagen, le prohiben presentar un estudio en el cual muestra cómo hackear los códigos de acceso al encendido de una serie de automóviles de alta gama tales como Porsches, Audis, Bentleys o Lamborghinis. El investigador ha conseguido descifrar el algoritmo que permite al sistema de encendido verificar la presencia de la llave, de manera que permitiría a un hipotético ladrón enviar una falsa señal y encender el vehículo.

La sentencia del tribunal británico pone de manifiesto cómo de absurdo es, en los tiempos que vivimos, tratar de impedir el acceso a una información determinada. Todo lo referente al algoritmo Megamos Crypto comprometido por Flavio García puede ser ya localizado con un simple buscador, de manera que exponerlo en una conferencia especializada es una manera de proteger a los usuarios de vehículos afectados y de forzar a la marca a buscar una solución. La prohibición, por tanto, no protege a los usuarios, sino todo lo contrario: pretende simplemente “tapar” el problema a instancias de la parte afectada por el mismo y, al hacerlo, tiende a empeorar el problema, y no, como supuestamente pretende, a paliar los posibles efectos del mismo.

En paralelo, en otra conferencia, dos investigadores norteamericanos, Charlie Miller y Chris Valasek presentan otro estudio en el que muestran cómo hackear y tomar control de sistemas críticos de vehículos conectados como los frenos o el acelerador de un Prius o de un Ford Escape, y no solo pueden presentarlo perfectamente, sino que reciben ayuda económica de DARPA para llevar a cabo su investigación. Un planteamiento completamente diferente al europeo, y mucho mejor adaptado al contexto actual.

Las conclusiones son evidentes: a medida que los automóviles empiezan a parecerse más a ordenadores con ruedas, cabe esperar que sea posible hackear cualquier automóvil de la misma manera que es posible hackear cualquier ordenador. Desde acceder a sus sistemas antirrobo o de encendido, hasta cosas tan peligrosas como acelerarlo o frenarlo. Por el momento, los hallazgos de los investigadores norteamericanos no permiten acceder remotamente al vehículo, lo que minimiza en gran medida su severidad: se trata de avanzar en ese sentido, para encontrar los problemas antes de que a alguien le dé por intentar explotarlos maliciosamente.

Esa nueva frontera para posibles usos relacionados con el crimen o la delincuencia no es más que un fruto normal del avance de la tecnología: a medida que progresa, aparecen nuevas vulnerabilidades, nuevos desafíos y nuevos problemas. Lejos de interpretarse con tremendismo, debe afrontarse con la adecuada madurez: como usuarios estaremos siempre mejor protegidos si los avances en este sentido son desarrollados por científicos, expuestos a la comunidad y mostrados a las marcas para que los solucionen, que si se desarrollasen, investigasen o incluso explotasen en completa oscuridad.

Resulta fundamental que los jueces entiendan que, en los tiempos que vivimos, una vez el gato está fuera de la bolsa, resulta completamente imposible volverlo a meter dentro de ella. Lo saben todos los que han intentado secuestrar alguna vez alguna publicación: el efecto de cara a la visibilidad y notoriedad pública es siempre infinitamente peor. A partir del momento en que internet existe y las barreras de entrada a la publicación han desaparecido, a más visibilidad para este tipo de temas, mucho mejor para todos. El gato, por favor, siempre mejor fuera de la bolsa.

 

(This post is available in English in my Medium page, “Cats, bags and Volkswagens“)

16 comentarios

  • #001
    Gorki - 31 julio 2013 - 16:20

    El otro día leía que un científico ha probado que conseguir emitir señales que confunden a los GPS http://historico.elpais.com.uy/120315/pciuda-630613/ciudades/Advierten-que-GPS-se-pueden-hackear/

    Asi obliga a los barcos gobernados por este medio, a salir de sus rutas, hacia otros lugares, lo que pues ser utilizado por los piratas para hacerlos embarrancar.

    ¿Que es mejor, que alguien informe que se puede hakear el GPS con facilidad, o que esperemos a que los piratas de Somalia aprendan a hacerlo?

  • #002
    Carlos (econ) - 31 julio 2013 - 17:53

    Como racionalista estoy con Enrique. Pero como ser humano, prefiero enterrar la cabeza en la arena y que no venga nadie a decirme que mi coche me lo pueden hackear. Ojos que no ven, corazón que no siente.

    Hace tiempo que me interesa menos el razonamiento y me esfuerzo en entender porque es excepcional que las decisiones sean racionales.

  • #003
    Cristina - 31 julio 2013 - 17:55

    Gorki, es una buena pregunta :-))
    Pero si un sistema es vulnerable de ataques y las personas a cargo,lo saben, por que no poner medidas? Puede haber muchos motivos: falta de presupuesto, falta de interés, premeditación, desconocimiento. Lo que antes era vulnerable pero no se sabia, al hacerlo,publico se vuelve todavía mas vulnerable. Y si no hay alternativa? Si lo publicas en un medio visible y con argumentación, demostrando como se puede vulnerar, entraría dentro del concepto hackear? Entiendo que no? (a veces utilizas el termino hackear)
    Cambiaría radicalmente, si para publicar se ha vulnerado el sistema? Que diferencias hay entre vulnerar y testear?

  • #004
    Pedro Fortuny - 31 julio 2013 - 19:50

    Si la ley dice que no existe, es que no existe.

    ¿No?

    Vamos, esto es un Estado de Derecho: si el PODER JUDICIAL dice que cierta información no debe existir, es que NO EXISTE.

    No sé qué problema tenéis con esto de la tecnología: basta con que haya una ley para censurar internet y una sentencia judicial para prohibir que se publique una información y ya está. Internet queda censurada y dicha información se ha convertido en un secreto inaccesible. Además, cualquier acceso a esta última será un delito punible.

    ¿No es lógico?

    Voy a ver si riego el lirio, que de tanto llevarlo en la mano se me ha secado.

  • #005
    José Luis Portela López - 31 julio 2013 - 20:56

    El problema de fondo es que hay muchos políticos, jueces, policías, etc, que han llegado a esos puestos porque conocían cosas que eran importante ayer….pero como bien sabes tu Enrique todo cambia, pero no todos cambian…

  • #006
    Cristina - 31 julio 2013 - 21:14

    #004 que tal el lirio? :-)
    Desde mi óptica se ponderan dos derechos. El derecho a publicar una informacion obtenida de manera licita pero no conveniente para los intereses de una empresa que no esta bloqueando la publicación de un secreto industrial. Por que se prohibe? en el marco de una sociedad transparente y no transparente el derecho del consumidor a estar informado de los potenciales riesgos y de adoptar decisiones al respecto en la compra de un producto, debería tenerse en cuenta. De la,misma forma que averiguo que caracteristicas tiene un telefono movil por que no puedo acceder a la informacion sobre el sistema de seguridad. Todos los productos similares, tendrán diferentes o similares deficiencias. Pero opino que hay algunas que pueden decantar mi decision de compra. Y el hecho de ocultarlas, la podría invalidar.
    Prohibir la publicacion de informacion relevante, no es censurar internet. Censurar internet seria bloquear los accesos a los lugares que publican dicha información porque considero que no aplica. Haya o no haya una sentencia de por medio ganada.

  • #007
    Antonio Gregorio - 1 agosto 2013 - 09:46

    Fácil de relacionar co el caso Manning y compañia, por un lado, y el laissez faire frente a la corrupción o tortura como otra cara de la moneda. En un caso, para protección del dinero. En el otro, para protección del poder en general.

  • #008
    Miguel A. Tovar - 1 agosto 2013 - 10:30

    Recientemente falleció en circunstancias aún no aclaradas Barnaby Jack, el hacker que logró extraer dinero de un cajero y que iba a explicar en la conferencia ‘Black Hat’ cómo controlar remotamente marcapasos, bombas de insulina y otros dispositivos médicos.

    http://techland.time.com/2013/07/29/barnaby-jack-hacker-who-made-atms-spit-out-cash-dies-in-california/

  • #009
    Gorki - 1 agosto 2013 - 10:40

    #003 Cristina
    Utilizo el término “hackear”, (no sé si correctamente), como manipular un apartarto para conseguir que haga cosas no previstas por el fabricate. Como todo en tecnología, “hackear” carece de en si mismo carga moral, hay quien ha “hackeado” videoconsolas para utilizarlas en superordenadores, (lo que no creo que nadie lo considere delictivo), y quien ha hecho para que acepten juegos de otro fabricante, lo que a mi entender es derecho de su propietario, pero no es así comprendida por todos.

    Hackear, es simplemente modificar el funcionamiento que se dio originalmente a un aparato para que haga cosas no previstas inicialmente, (si hay una palabra española más correcta, que la propongan), En ese sentido, yo uso el término en este caso, alguien modifica el GPS que controla el rumbo de un barco, para cambiar su trayectoria, Algo que será delictivo si la intención que tenga quien lo hace es delictiva, pero no es por el hecho de “hakear” el GPS.

  • #010
    Observador - 1 agosto 2013 - 14:34

    ¿Qué te parece esto, Dans? ¿Por qué los falsificadores no hacen Seats o Renaults para vender por 40.000 cada unidad? ¿Te parece lícito usar la marca de una empresa sin su consentimiento para lucrarse? ¿Por qué no inventan ellos una marca para vender esos mismos coches manipulados? Ah, que entonces no los venderían…

    Imagino que este tipo de cosas tampoco deberían ser sancionables según los tecnólogos, ya que total esa persona no se iba a comprar un Ferrari y eso ya da posibilidad de usar una marca al antojo de cualquiera que quiera lucrarse.

    http://www.lasprovincias.es/rc/20130731/mas-actualidad/sociedad/detenidos-convertir-coches-gama-201307311021.html

    Qué exagerados los de Ferrari, si todo el mundo sabe que lo de competencia desleal es una tontería que a alguien se le ocurriría un día cualquiera…

    Ahí, ahí, economía made in Spain

  • #011
    Cristina - 1 agosto 2013 - 14:53

    Ok Gorki :-)

  • #012
    Gorki - 1 agosto 2013 - 16:24

    Eñ caso más importante de “hakeo” que conozco, se produjo en el año 2005, cuando elfinlandés Harri Hursti, experto en seguridad, demostró que las máquinas de marca Diebold, utilizadas en las elecciones para el conteo autom´çatico de votos, podían trucarse fácilñmente para que el resultado fuera diferente del real. http://www.bbvforums.org/cgi-bin/forums/board-auth.cgi?file=/1954/15595.html

    Supongo que todos nos alegramos que saliera a la luz ese agujero de seguridad, en algo tan crucial como una máquina que va a decidir el gobierno que mande en un pais. Claro, todos escepto Observador, que prefiere conducir un coche susceptible de ser hakeado en los frenos, antes que crear un perjuicio económico a la empresa que lo fabrica.

  • #013
    mercadder - 2 agosto 2013 - 10:03

    si hackear es manipular lo establecido para tomar el control, los políticos nos están hackeando constantemente.

  • #014
    mercadder - 2 agosto 2013 - 10:26

    El sistema de votación que existe en Venezuela está totalmente manipulado para darle votos a la dictadura chavista disfrazada de democracia. Se ha descubierto que los terminales son bidireccionales, que existen centros de datos escondidos donde se puede ver el transcurso de la elección al instante (ilegalmente por supuesto). Incluso se dice que hay un centro de datos en Cuba. ¿Y que sucede? Pues que los gobiernos del mundo no pueden o no quieren meterse a desvelar ese fraude, porque el castrismo-chavismo ha manipulado tanto las leyes, la prensa, y la geopolítica, que cualquier intento por desvelar el fraude es aniquilado al instante.

    El sistema es (o era) de Indra. Y en la mayoría de las elecciones venezolanas estuvo el Centro Carter avalando la transparencia de las elecciones, sin tener un p.idea de los aspectos técnicos de la misma.

    ¿Entonces? que vivimos en un mundo de mierd*, que todo es manipulado y hackeado, que hay una hipocresía de todos los países contra todos los países, por motivos meramente económicos. Allí esta Cuba tambien: un país totalmente atrasado, pero con maravillosos Hoteles españoles: intereses económicos le impiden a España y a otros países, intervenir políticamente para que Cuba llegue a la modernidad. “Bozal de arepas” llaman en Venezuela a esa manipulación geopolítica-económica.

    El hackeo es la misma manipulación para robar y someter, de toda la vida, lo que ha cambiado es el medio. Pero los inmorales son los mismos.

    Este mundo ya les pertenece a los que tienen poder y a los más inteligentes.

  • #015
    Jose Manuel - 2 agosto 2013 - 11:20

    El juez es un hacha. Es el mismo que dijo que “Samsung is not as cool as apple”. No obstante, cada país tiene diferencias en su ordenamiento, y debemos ser conscientes de que los jueces tienen que aplicar las leyes.

    Por otra parte, no he encontrado a nadie que se haya comprado una replica de ferrari por 40.000 € pensando que era uno de verdad. Que no es lo mismo vulnerar la marca y la propiedad intelectual de ferrari, que estafar a la gente vendiendoles ferraris falsos.

    Por último, una duda me surge: Si en lugar de venderlo, me hago una replica de un ferrarí para mí…¿se considera copia privada?

    Me encanta tu blog Enrique. Gran trabajo.

  • #016
    Pep - 9 agosto 2013 - 00:55

    Leyendo el articulo de Enrique Dans he recordado lo leído hace unas semanas en la revista VT. sobre el control electrónico de aparatos o vehículos, por parte de personal “no autorizado”
    El articulo habla de como “eliminar” a alguien que por el motivo que sea molesta, y una de las técnicas se denomina Boston Brakes.

    Este es el enlace: http://www.veteranstoday.com/2013/07/13/boston-brakes-no-skidmarks-in-the-sky/

    Conspiranoia?. . . quizás, que cada uno llegue a sus propias conclusiones

Dejar un Comentario

Los comentarios están cerrados