Con una simple conexión a internet pudieron manipular el aire acondicionado, radio, limpiaparabrisas, desactivaron la transmisión y el acelerador en plena marcha, controlando el volante y frenos.
Dos piratas informáticos, sin más ayuda que una conexión de internet, han demostrado que pueden controlar a distancia vehículos nuevos o "inteligentes", hasta el extremo de conseguir girar el volante, bloquear los seguros o desactivar los frenos.
Un redactor de la revista tecnológica Wired, que hoy publica un vídeo y la narración de la prueba, sufrió en sus carnes la experiencia, realizada en una vía pública para hacerla más real y terrorífica.
Los dos "hackers", que consiguieron convertirse en dueños y señores de un Jeep Cherokee de 2014 (y que aparentemente pueden replicar el experimento en otros vehículos de Fiat Chrysler), son Charlie Miller, ingeniero de seguridad de Twitter, y Chris Valasek, ingeniero de la consultora de seguridad IOActive.
El experimento comienza con ambos "hackers" conectados a una conexión inalámbrica a más de 15 kilómetros de la autopista por la que circulaba el conductor de Wired, que no sabía qué acciones tenían previstas los expertos en seguridad informática.
Primero, consiguen poner a toda potencia el aire acondicionado; posteriormente, cambian la emisora de la radio, elevan su volumen y activan los limpiaparabrisas; para, a continuación, desactivar la transmisión y el acelerador en plena marcha.
Para realizar todas estas acciones, los piratas informáticos no necesitan manipular físicamente el vehículo, solo una conexión de internet, una dirección IP y un software propio que se aprovecha de una vulnerabilidad en el sistema digital Uconnect del fabricante Fiat Chrysler.
En una demostración posterior llegan a controlar el volante del Jeep (algo que solo pueden hacer si el vehículo se mueve en reverso), bloquean las puertas e inhabilitan los frenos.
Además, el software que han creado les permite obtener información de geolocalización del vehículo y otros datos de telemetría.
Los "hackers" alertaron a Fiat Chrysler, que ya ha distribuido una actualización de su sistema UConnect, aunque ambos advierten que otros expertos informáticos pueden hallar modos de acceder a vehículos modernos, donde las funciones del motor, GPS y otros se canalizan a través de sistemas informáticos con conexión a internet.
Precisamente hoy, dos senadores estadounidense presentaron un proyecto de ley para establecer estándares públicos de seguridad en automóviles y camiones, algo en lo que comenzaron a trabajar cuando Miller y Valasek comenzaron a demostrar los primeros intentos exitosos de controlar automóviles a través de internet en 2013.
La respuesta de Chrysler
Fiat Chrysler dijo hoy que ha subsanado la vulnerabilidad en el software de algunos de sus vehículos, que había permitido a dos piratas informáticos controlar remotamente sus funciones.
FCA señaló que los propietarios de los vehículos afectados pueden descargar una versión actualizada del software con que están equipados sus automóviles.
FCA aseguró que los hackers han estado trabajando en el pirateo del Jeep Cherokee desde hace un año y que han transmitido a la compañía automovilística "algunos aspectos de su trabajo".
"Por lo que FCA sabe, no se ha producido un sólo incidente en el mundo real de 'hack' remoto ilegal o no autorizado en ningún vehículo de FCA", explicó la compañía en una entrada en su blog firmada por Gualberto Ranieri, vicepresidente de Comunicaciones.
FCA añadió que la vulnerabilidad explotada por Miller y Valasek afecta a algunos vehículos de los modelos 2013 y 2014 equipados con sistema de pantalla táctiles de 8,4 pulgadas.
El software actualizado no presenta vulnerabilidad y puede ser instalado directamente por los propietarios de los vehículos a través de una unidad de memoria USB.
El fabricante dijo que el software actualizado también puede ser instalado de forma gratuita por sus concesionarios.
Los vehículos afectados son: Ram 1500 Pickup 2013-2014, Ram 3500 Cab Chassis 2013-2014, Ram 2500 Pickup 2013-2014,Ram 4500/5500 Cab Chassis 2013-2014, Ram 3500 Pickup 2013-2014, Grand Cherokee 2014, Durango 2014, Viper 2013-2014, Cherokee 2014 y algunos Chrysler 200 2015.