Hay eventos en los que hackers de todo el mundo se reúnen para buscar vulnerabilidades en los coches de última generación. El hecho de que los fabricantes vendan automóviles cada vez más conectados y repletos de electrónica ha facilitado la tarea de los piratas informáticos en los últimos años. La magnitud de esta realidad hizo que la Unión Europea tomara medidas en forma del reglamento WP.29 que llegó en 2021 y que prohíbe desde el 1 de julio de 2022 homologar coches nuevos que no superen las pruebas de seguridad estándar y recogidas en el texto. En total, 70 posibles vulnerabilidades que el sistema del automóvil debe bloquear.
De hecho, desde julio de 2024 Europa tampoco permite la venta de vehículos a estrenar que no estén preparados para este tipo de ataques informáticos. No es ninguna tontería, pues es la razón principal por la que el Porsche Macan de gasolina, por ejemplo, ha dejado de venderse en nuestro mercado.
Para los piratas más legales, citas como el Pwn2Own son un auténtico paraíso en el que demostrar sus habilidades sin enfrentarse a la justicia. Este evento se celebró recientemente en Tokio y se repartió un millón de dólares entre los equipos que fueron capaces de vulnerar la seguridad de algún coche o estación de carga para automóviles eléctricos, que era en lo que estaba centrado el encuentro.
Los premios más grandes los obtuvo el conocido equipo de Synacktiv, que se dedican durante el año a hacer pruebas de auditoría de seguridad y a buscar zonas de acceso vulnerables en las tecnologías de importantes empresas. La escudería francesa se llevó una suma total de 450.000 dólares después de, entre otras cosas, encontrar fallos en el sistema de Tesla. Por este logro concreto percibieron 200.000 dólares.
Ya en anteriores ocasiones habían sido capaces de piratear el entramado tecnológico del Tesla Model 3, pero lo último que lograron fue acceder al módem y, con ello, a puntos débiles que permitían tomar el control de la electrónica del coche: desde activar la iluminación o las escobillas de los limpiaparabris hasta abrir los maleteros delantero (frunk) y trasero cuando les venía en gana.
The first ever #Pwn2Own Automotive is in the books! We awarded $1,323,750 throughout the event and discovered 49 unique zero-days. A special congratulations to @synacktiv, the Masters of Pwn! Stay with us here and at the ZDI blog as we prepare for Pwn2Own Vancouver in March. pic.twitter.com/ov2B1rtA8c
— Zero Day Initiative (@thezdi) January 26, 2024
La marca de Elon Musk no fue la única que sufrió estos ataques, puesto que Synacktiv también consiguió marear el sistema de distintos puntos de carga para coches eléctricos como el de ChargePoint, con lo que ganaron 60.000 dólares, o el de JuiceBox 40 y el de Ubiquiti Connect.
El sistema operativo Automotive Grade Linux y la tecnología de infoentretenimineto Sony XAV-AX500 tampoco se libraron de estos hackers y le otorgaron a los galos otro paquete importante de beneficios hasta completar los 450.000 dólares mencionados.
Estos eventos son completamente legales y juegan un papel importante para los fabricantes, que reciben el feedback de las vulnerabilidades detectadas para trabajar en la seguridad de sus coches. Todo lo recopilado en el evento se mantiene en secreto para evitar ataques ilegales.
