Su seguridad se enfrenta a cada vez más retos que no parecen tener solución: ausencia de código fuente, falta de actualizaciones a largo plazo... la lista no para de crecer
En los últimos años, se han demostrado ataques informáticos espeluznantes que permiten asumir el control de los frenos, del motor o de otros componentes del coche en remoto. Este peligro ha obligado a la industria automovilística a que se tome la seguridad más en serio (ver "Jamás me conectaría a la red wifi de Starbucks").
Pero un investigador, conocido por sus esfuerzos en tocar las narices a las empresas automovilísticas para que aborden sus fallos de seguridad, dice que la prisa de la industria por desarrollar tecnologías de conducción autónoma dará paso a nuevos problemas de seguridad.
Hablamos del profesor de informática de la Universidad de California en San Diego (EEUU) Stefan Savage. En la conferencia Enigma de seguridad celebrada en San Francisco (EEUU) el pasado martes afirmó: "Nos encontramos muy lejos aún de asegurar los vehículos no autónomos, por no hablar de los autónomos". Los ordenadores y los sensores adicionales y la mejorada conectividad a internet que se necesitan para conseguir que el coche se conduzca solo aumentan las posibles vulnerabilidades, explicó. "La superficie de ataque para estas cosas es aún peor", concluyó.
Los principales fabricantes de automóviles están compitiendo con otras empresas, algo intrusas, como Google y Tesla para desplegar prestaciones de conducción autónoma y desarrollar vehículos totalmente autónomos. Toyota ha calculado que los coches completamente autónomos estarán disponibles dentro de cinco años, y este mes el Gobierno de Estados Unidos anunció que quiere allanar el camino para la realización de pruebas y el uso de tales vehículos en las carreteras del país.
Eso le preocupa a Savage por lo que aprendió, junto con sus compañeros, mientras intentaba demostrar que es posible asumir el control de los vehículos convencionales de varias maneras, por ejemplo al llamar a la conexión móvil integrada del coche, o al facilitar al conductor un CD de música programado con una "canción de la muerte" que conecta el coche con el ordenador del hacker.
Por el diseño de los coches modernos, una vez que un atacante consiga adentrarse en la red de internet que conecta los aproximadamente 30 ordenadores de a bordo, podrá asumir el control de casi cualquier componente, desde los frenos hasta la radio, asegura Savage.
No es posible aislar las partes "importantes" como los frenos, porque casi todo ha de estar interconectado para habilitar muchas de las prestaciones que esperan los consumidores de los coches, además de poder facilitar las reparaciones y las actualizaciones de software, explicó. "La noción de que puedes separar lo que es crítico para su uso de lo que no, es una falacia", dijo.
Para que un vehículo pueda entender su entorno y conducirse sólo aunque sea durante parte del tiempo, se han de añadir más ordenadores, sensores y otros componentes a la maraña ya presente dentro de nuestros coches. Eso ampliará los posibles puntos de entrada para los atacantes y las hazañas de las que serán capaces. Por ejemplo, los coches autónomos dependen de escáneres de láser y otros sensores, que podrían ser alterados para enviar datos erróneos. También agravará un problema ya existente: los fabricantes de coches no saben exactamente qué software contienen los vehículos que comercializan, según Savage.
Eso se debe a que los coches se montan con componentes fabricados al coste más bajo posible por unos proveedores terceros. Esos proveedores guardan con recelo los detalles del software que forma parte de cosas como el sistema de frenado o los componentes del cierre central.
"Si entras en una empresa automovilística y preguntas: '¿Han examinado el código fuente de su vehículo?', dirán que no, porque no es de su propiedad. No existe nadie en el mundo que sea el propietario de todo el código de un vehículo", afirmó Savage. "Es un problema enorme".
Los fabricantes de coches han logrado unas mejoras importantes en su actitud acerca de la seguridad en años recientes. Por ejemplo, después de que el equipo de Savage demostrara cómo asumir en remoto el control de un Chevrolet Impala en 2010, General Motors arregló los fallos, construyó un nuevo equipo de seguridad y contrató a un nuevo ejecutivo que se dedicaría a la seguridad de los coches. Las automovilísticas también están trabajando en el desarrollo de vehículos que puedan recibir actualizaciones de software en remoto.
Algunas de las empresas más jóvenes que trabajan en los coches autónomos, como Tesla y Google, también tienen la oportunidad de evitar ciertos problemas de seguridad intrínsecos al proceso de fabricación de algunas empresas más establecidas. "Tesla tiene ventaja porque ha empezado de cero", señala Savage. "Tiene la suerte de poder diseñar su arquitectura en el siglo XXI en lugar del siglo XX".
No obstante, hasta Google y Tesla tendrán que apoyarse fuertemente en proveedores terceros para el montaje de sus vehículos, lo que significa que tal vez no puedan visualizar todo el código de sus coches autónomos.
El profesor de la Universidad de Washington (EEUU) Tadayoshi Kohno asegura que incluso cuando las empresas se toman la seguridad muy en serio, la longevidad de productos como los coches da paso a lo que él denomina "el problema zombi". Un coche puede circular durante décadas, pero es poco probable que la empresa que lo fabricó y los proveedores de sus componentes sigan proporcionando actualizaciones de software durante todo su ciclo de vida. El mismo problema afecta a los electrodomésticos que empiezan a conectarse a internet. "¿Qué vamos a hacer con estos zombis durante los 20 años restantes que seguirán en servicio?", pregunta Kohno. "Creo que será un problema muy gordo".