Los coches llevan tiempo siendo computadoras sobre ruedas, como los tan tecnológicos Tesla en los que hasta el cambio de marchas ya se maneja desde la pantalla. Y encontrar sus brechas de seguridad tiene premio en concursos de hackers éticos como el Pwn2Own, que se acaba de celebrar en Tokio.
Los triunfadores se han llevado un total 450.000 dólares gracias a dar con fallas en sistemas multimedia de coches y en puntos de carga para coches eléctricos, que eran las vulnerabilidades protagonistas en esta edición. Sólo con destapar dos de Tesla, se han embolsado 200.000 dólares.
Tomar el control de las luces y los limpias, en un abrir y cerrar de ojos
Los hackers de la firma francesa Synacktiv, especializada en pruebas de penetración y auditorías de seguridad, se han llevado el mayor montante en esta nueva edición de Pwn2Own que organiza Zero Day Initiative.
Hacen varios concursos al año, premiando a aquellos que dan con fallas en el sistema y los chicos de Synacktiv ya son viejos conocidos: el año pasado ganaron 350.000 dólares y se llevaron puesto un Tesla Model 3 tras hackearlo en dos minutos. Y no era la primera vez, en ediciones anteriores también se hicieron con los servicios de un Model 3 por destapar sus vulnerabilidades.
De nuevo, los “ninjas” de Synacktiv penetraron en el sistema de Tesla mediante dos exploits diferentes. Un exploit una secuencia de comandos que aprovecha un error o una vulnerabilidad para provocar un comportamiento involuntario. Y esto les permitió una vez más volver locos algunos sistemas de un Model 3, como las luces o los limpiaparabrisas, además de tener acceso a los dos maleteros.
La hazaña les sirvió para llevarse 10 puntos en la segunda jornada, además de 100.000 dólares. Pero es que en la primera, tras colarse en el modem de Tesla, también cosecharon otros 10 puntos y otros 100.000 dólares.
En total Synacktiv ha sido la firma más premiada del Pwn2Own inaugural de 2024 con un total de 50 puntos y un montante de 450.000 dólares. Más allá de Tesla, han destapado fallas en Automotive Grade Linux o en la radio multimedia Sony XAV-AX5500, aunque el mayor premio se lo llevaron gracias a volver a mostrar las brechas de Tesla.
Pagar mejor a los hackers de guante blanco. La electrónica ha hecho a los coches mucho más avanzados en sus funciones, pero también más vulnerables a ataques informáticos. Zero Day Initiative lleva tiempo realizando este tipo de concursos, en los que Tesla suele ser protagonista. Y los premios son generosos: el total a repartir esta vez era de 1,32 millones de dólares.
Las marcas de coches también invierten en contratar hackers éticos que den con posibles fallas en el software de sus coches. Y es que entrar en el sistema puede suponer manejar no sólo la radio o las luces, si no también arrancar el motor u operar en la dirección, el acelerador o los frenos.
Pero este tipo de concursos salen bastante más rentables para este tipo de profesionales. Un reciente informe de HackerOne concluyó que precisamente los fabricantes automovilísticos son los que menos les pagan: unos 484.000 dólares en todo 2022, con los proyectos pagados a 2.000 dólares de media. Mientras, empresas de Internet, invirtieron dicho año más de 13 millones de dólares.
El hackeo en coches es cada vez más habitual y el robo uno de los objetivos: abrir el coche suplantando a la llave y llevárselo puesto. Así, se venden dispositivos que permiten acceder a la red CAN Bus de los automóviles, camuflados en altavoces Bluetooth o móviles antiguos, como el mítico Nokia 3310. Y no exigen excesivos conocimientos para manejarlos.
Los hackers también han presumido de vulnerabilidades de los coches de la firma de Elon Musk: desde operar sobre las luces o frenos de un Model X a distancia a penetrar en su sistema desde un dron. Por ello también Tesla ofrece recompensas por detectar sus fallas. La última consiguió desbloquear extras que ofrece Tesla por suscripción, como el FSD Autopilot que cuesta 7.500 euros.
Escrito por:
Fuente: Motorpasión
Conoce en canal de Youtube de gestión de flotas
Suscríbete a la Newsletter de gestión de flotas
Curso ONLINE para la gestión de flotas de vehículos
Advanced Fleet Management Consulting, Webfleet Solutions, Optimatics, Mobileye, GantaBI, Unigis, Eccocar, y Alcoa Wheels organizan el “Curso para la Gestión de flotas de vehículos” con el fin de formar a los profesionales en gestión de flotas a tomar una visión global y conocer todas las actividades y factores clave involucrados en la gestión de una flota de vehículos.
El curso es único y presenta un enfoque innovador con los objetivos de reducir costes y optimizar la gestión de la flota.
info@advancedfleetmanagementconsulting.com
Rellena el siguiente formulario para recibir la información del curso y te puedas inscribir.