Durante décadas hemos hablado de la seguridad de los coches y ahora tenemos que hablar también de ciberseguridad. Los vehículos, cada vez más conectados y con mayor dependencia de las computadoras y el software, entrañan nuevos peligros potenciales. Tesla está tan convencida de la ciberseguridad de sus coches que suele retar a hackers de vez en cuando para que intenten encontrar vulnerabilidades. El último que lo ha conseguido se ha llevado a casa un Tesla Model 3 y 250.000 dólares en metálico.
La seguridad en todo lo concerniente al software es un aspecto crítico en los vehículos actuales y futuros. En los casos más extremos, un hacker podría no sólo acceder al coche, sino acceder a los datos personales vinculados al perfil del propietario e incluso tomar el control del vehículo. Hay quien ya está un poco paranoico con todo esto, caso del rapero Rick Ross y que, incluso, se niega a utilizar vehículos conectados hasta ese nivel.
Bien es cierto que conseguir vulnerar un coche con la tecnología de un Tesla es muy complicado. Pero no es imposible, como han demostrado en el evento Pwn2Own, dedicado esencialmente a encontrar vulnerabilidades, eso sí, con un enfoque bienintencionado (mejorar el nivel de seguridad). No obstante, dada la naturaleza del suceso, no se han publicado todos los detalles de cómo se llevó a cabo el pirateo para evitar un riesgo de seguridad para los propietarios de Tesla.
El grupo de especialistas que ha conseguido vulnerar el sistema se llama Synacktiv y es de origen francés. Utilizaron un ataque TOCTOU para acceder al vehículo, consistente en alterar archivos internos del sistema para obtener acceso al mismo. Los hackers modificaron los archivos que garantizan que quien accede al vehículo es quien debería realmente tener acceso. Por ejemplo, pidiendo las credenciales de inicio de sesión. El tipo de ataque empleado utiliza la diferencia de tiempo entre el momento en que el sistema comprueba los archivos y el momento en que una persona realmente inicia sesión. Esto les valió para conseguir un premio de 100.000 dólares, pero después superaron un nivel más avanzado.
CONFIRMED! @Synacktiv used a heap overflow & an OOB write to exploit the Infotainment system on the Tesla. When they gave us the details, we determined they actually qualified for a Tier 2 award! They win $250,000 and 25 Master of Pwn points. 1st ever Tier 2 award. Stellar work! pic.twitter.com/IPOnXG5S0u
— Zero Day Initiative (@thezdi) March 23, 2023
El mismo equipo consiguió vulnerar el sistema de infoentretenimiento del Tesla, uno de los apartados con mayor dificultad y con mayor recompensa. Tanto es así que ha sido la primera vez en la historia que alguien consigue un premio de categoría Tier 2 en dicho evento. El premio total para el grupo de hackers ha sido bien suculento: un Tesla Model 3 y 250.000 dólares en metálico. Traducido a nuestra divisa, el montante total del premio asciende a algo más de 272.000 euros, sumando el dinero y el valor del coche.
No es la primera vez que Tesla se presta a participar en el Pwn2Own, que es uno de los eventos de hacking más famosos del mundo. En él intervienen equipos de hackers que intentan vulnerar algunos de los programas y sistemas más populares del mundo, dividido en diferentes niveles y objetivos. Tesla ha llegado a ofrecer 700.000 dólares a quien consiga hackear por completo uno de sus coches y adentrarse por las malas en lo más profundo del software del vehículo. De momento, nadie lo ha conseguido. Sí se han vulnerado algunos subsistemas, cuya recompensa oscila entre 35.000 y 200.000 dólares, dependiendo de la dificultad. Y siempre que lo han conseguido, Tesla ha respondido con brevedad solucionando el fallo mediante una actualización de software.
