El año 2016 ya se conoce como "el año del ransomware", una amenaza que ocupará un lugar destacado en mi próximo seminario web "Mid-Year Threat Review" (una revisión de amenazas a mitad de año). En el seminario también voy a hablar sobre la Internet de las Cosas (IoT, en inglés) y, más concretamente, sobre la Internet de las Cosas Inseguras (IoIT, en inglés), sobre todo porque los riesgos derivados de esta última están aumentando.

No me malinterpreten, no estoy diciendo que la amenaza que plantea la IoIT en la actualidad es tan grande como el ransomware. Pero parte de mi trabajo es mirar más allá del presente, y no me gustaría tener que leer "el año del jackware" en futuros titulares.

¿Qué es el jackware?

El objetivo es cualquier dispositivo no diseñado para procesar datos ni brindar comunicación digital

Defino como jackware al software malicioso que intenta tomar el control de un dispositivo cuyo objetivo principal no es el procesamiento de datos ni la comunicación digital. Un automóvil, por ejemplo, sería uno de estos dispositivos.

Muchos de los automóviles de hoy llevan a cabo una gran cantidad de tareas de procesamiento de datos y comunicación; sin embargo, su objetivo principal es llevarte desde el punto A hasta el punto B. Por lo tanto, piensa en el jackware como una forma especializada de ransomware. En el ransomware normal, como Locky y Cryptolocker, el código malicioso cifra los documentos del equipo y exige el pago de un rescate para desbloquearlos. En forma similar, el objetivo del jackware es bloquear un automóvil u otro dispositivo hasta que pagues el rescate.

Por suerte el jackware, hasta donde yo sé, todavía se encuentra en su etapa teórica. Aún no está libre o "in the wild".

Pero lamentablemente, si nos basamos en las experiencias pasadas, debo admitir que no tengo mucha fe en que el mundo sea capaz de detener el desarrollo y despliegue del jackware. Ya hemos visto que una empresa automotriz puede vender más de un millón de vehículos con vulnerabilidades que podrían haber sido objeto de ataques de jackware. Me refiero al caso del Jeep Fiat Chrysler que salió en todas las noticias del año pasado.

Sin embargo, según mi opinión, la aparente falta de planificación para corregir las fallas en el diseño del vehículo es igual de grave. En otras palabras, una cosa es vender un producto digital en el que más tarde se descubren errores (de hecho, esto es prácticamente inevitable), pero otra muy distinta y mucho más peligrosa es vender productos digitales sin un medio rápido y seguro de corregir las posibles fallas.

Y aunque la mayoría de las investigaciones y los debates sobre el hacking de automóviles se centran en los problemas técnicos de los vehículos, es importante darse cuenta de que una gran cantidad de dispositivos digitales y de tecnologías de la IoT requieren un sistema de soporte que va mucho más allá del propio dispositivo.

Encontramos este problema el año pasado con VTech, un dispositivo de juegos perteneciente a la Internet de las cosas para niños (IoCT, del inglés). La seguridad insuficiente del sitio web de la empresa expuso gravemente los datos personales de los niños, recordándoles a todos la gran cantidad de superficies de ataque que crea la IoT. También detectamos este problema de infraestructura a principios de año, cuando se comprometieron algunas cuentas de usuarios de Fitbit (para ser claros, los dispositivos de Fitbit en sí no fueron atacados; Fitbit parece tomarse en serio la privacidad).

Entonces, ¿qué tiene que ver todo esto con los automóviles? Piensa en el caso reciente de las fallas encontradas en la aplicación web de servicios online para ConnectedDrive de BMW. Hay una gran cantidad de aspectos interesantes de la IoT relacionados con ConnectedDrive. Por ejemplo, puedes utilizar el servicio para regular la calefacción, las luces y el sistema de alarma de tu casa "cómodamente, desde el interior de tu vehículo".

La posibilidad de que las funcionalidades y la configuración de un sistema propio de un vehículo se puedan administrar en forma remota a través de un portal que podría ser comprometido es, como mínimo, inquietante.  Y las quejas por el diseño poco seguro de los automóviles inteligentes nos siguen llegando, como este Mitsubishi con Wi-Fi o la posibilidad de robar automóviles tras acceder a su radio en las marcas BMW, Audi y Toyota.

Cómo detener el jackware

Para detener el desarrollo y despliegue del jackware deben ocurrir varias cosas en dos ámbitos diferentes de la actividad humana. El primero es el técnico; recuerda que implementar la seguridad en una plataforma automotriz constituye un reto considerable.

Tan solo piensa en la capacidad de procesamiento y ancho de banda que requieren las técnicas tradicionales de seguridad, como el filtrado, el cifrado y la autenticación. Esto conlleva una sobrecarga de los sistemas, algunos de los cuales necesitan operar con una latencia muy baja. Las técnicas de seguridad como las barreras de aire y la redundancia tienden a incrementar considerablemente el costo de los vehículos. Y sabemos que el control de costos siempre fue un requisito fundamental para los fabricantes de automóviles, que cuidan hasta el último centavo.

El segundo ámbito en el que es necesario actuar para detener el jackware es en el de la política y el establecimiento de medidas. Las perspectivas no son nada buenas, ya que hasta ahora el mundo ha fracasado estrepitosamente cuando se trata de disuadir los delitos cibernéticos. Estamos presenciando un fracaso colectivo internacional para prevenir el establecimiento de una infraestructura criminal próspera en el ciberespacio, que ahora ya está amenazando a todos los tipos de innovaciones en tecnología digital, desde la telemedicina hasta los drones, los grandes grupos de datos y los vehículos que se manejan en forma automática.

Ya estamos a mediados de 2016. El ransomware se está extendiendo en forma descontrolada. Cientos de miles de personas ya les pagaron millones de dólares a los criminales para recuperar el uso de sus propios archivos o dispositivos. Y todas las señales indican que el ransomware seguirá creciendo en escala y alcance. Las primeras variantes de ransomware no eran capaces de cifrar las instantáneas del sistema y las unidades de backup conectadas, por lo que algunas víctimas lograban recuperarse con bastante facilidad. Sin embargo, ahora también existe ransomware que cifra o elimina las instantáneas del sistema, y que busca incansablemente las unidades de backup conectadas para cifrarlas a ellas también.

En un primer momento, los delincuentes que se dedicaban al ransomware se aprovechaban de las víctimas que hacían clic en enlaces de correos electrónicos, abrían archivos adjuntos o visitaban sitios infectados. Pero ahora también utilizan técnicas como la inyección SQL para entrar en la red de una organización específica y luego propagan estratégicamente el ransomware hasta llegar a los servidores (muchos de los cuales ni siquiera están protegidos con un programa antimalware).

Aunque siguen llegando nuevas historias de las víctimas, se hicieron muy pocas acusaciones o arrestos. Teniendo en cuenta los desafíos técnicos para proteger los vehículos computarizados cada vez más conectados, y la falta de progreso aparente en la disuasión de la delincuencia cibernética, las perspectivas del jackware no son nada buenas (a menos que seas un delincuente y estés planificando tus actividades a largo plazo).

Inevitabilidad y ética

¿Entonces es inevitable que con el tiempo el ransomware evolucione y genere el jackware? En un principio, parecería tener lógica. Hace unos meses hablé con el periodista automotriz canadiense David Booth, quien escribió sobre el hacking de automóviles, y cuando le describí cómo el ransomware estaba atacando equipos portátiles y servidores, rápidamente llegó a esta conclusión: el ransomware es el futuro del robo de automóviles. En mi opinión, es muy posible que tenga razón y lo hemos debatido en WeLiveSecurity.

Más allá de que exija el pago de un rescate para desbloquear los automóviles, creo que el momento en que el malware automotriz se convertirá en un problema grave y sumamente peligroso es cuando se comiencen a usar los automóviles que se manejan en forma automática.

Imagina la siguiente escena: pasas tu tarjeta sobre el parabrisas del vehículo automático para desbloquearlo (algo que ya vengo haciendo desde hace años con los vehículos Car2go aquí en San Diego). Entras al automóvil, seleccionas tu destino y ya estás en camino. Las puertas se traban automáticamente para tu seguridad y empiezas a leer tus mensajes de correo electrónico. Luego levantas la vista y te das cuenta de que vas en la dirección equivocada, hacia un destino que no es el que elegiste. Aparece una voz en el audio del automóvil y con calma te informa la cantidad de bitcoins que vas a tener que pagar para salir de este embrollo.

Para que quede claro: no inventé el término jackware para provocar temor. Se pueden hacer varias cosas para impedir el desarrollo de este escenario de pesadilla. Tampoco escribo este artículo para darles nuevas ideas a los ciberdelincuentes. La realidad es que son muy capaces de idear cosas similares por sí mismos. Recuerda que el crimeware es un negocio que opera a través de un sistema muy bien organizado basado en el mercado, y que utiliza una moneda digital que no se puede rastrear, servicios de custodia de tecnología, sistemas de reputación, por no hablar de la división del trabajo y la modularidad, para aprovechar al máximo las habilidades de los especialistas.

Se podría argumentar que la razón por la que el jackware todavía no es algo común es simplemente porque aún no es el momento correcto. Después de todo, no hay tanta necesidad de pasar a otra cosa cuando el ransomware de cifrado tradicional sigue cumpliendo su función.

En este momento, el jackware automotriz es solo un "proyecto futuro" para los delincuentes informáticos. Técnicamente aún falta recorrer un buen trecho, por lo que los automóviles del mañana quizás estén mejor protegidos; sobre todo si FCA aprendió algo del hacking de su Jeep y VW, del escándalo con las pruebas de emisiones diesel; y si el programa de recompensas de errores de GM llega a funcionar; y si la infraestructura de soporte para vehículos conectados se crea teniendo en cuenta la seguridad.

Lamentablemente, mientras pensaba cuántos "si..." había en esta última oración, comenzó a sonar un conocido estribillo en la radio de mi automóvil, que decía "when will they ever learn?" (¿cuándo van a aprender?).

Recursos

Los siguientes cuatro documentos, que se pueden descargar en inglés como archivos PDF, proporcionan varias consideraciones sobre muchas de las cuestiones de seguridad cibernética relativas a los vehículos: