Los coches conectados, objetivo de los hackers

Los coches conectados, objetivo de los hackers

VicOne, un proveedor de soluciones de ciberseguridad para la industria automotriz, organizó su primer evento de piratería ética “Pwn2Own Automotive 2024” en el Automotive World de Tokio a finales de enero. El objetivo era investigar y superar los retos de la ciberseguridad en la industria del automóvil. El evento fue un gran éxito. Específicamente, 17 equipos o individuos de hackers de sombrero blanco de nueve países, incluida Alemania, llevaron a cabo un total de más de 50 enfoques de piratería diferentes en cuatro categorías: “Tesla”, “In-Vehicle Infotainment (IVI)”, “EV Chargers” y “Operating System”. Los concursantes compitieron por un total de $1,323,750 en efectivo y premios. El resultado preocupante: durante los tres días que duró el evento, los participantes del hackathon descubrieron un total de 49 fallos de seguridad desconocidos hasta entonces (vulnerabilidades de día cero). Para ganar su respectivo intento de piratería, los participantes debían poder explotar las vulnerabilidades recién descubiertas para atacar los sistemas y dispositivos de destino y ejecutar instrucciones arbitrarias.

Sin embargo, el evento no se trataba sólo de prestigio y competencia entre los mejores hackers de sombrero blanco del panorama, sino también de colaboración dentro de la industria automotriz y con expertos externos en ciberseguridad de TI para hacer que toda la industria sea más segura. El fabricante de vehículos eléctricos Tesla, principal patrocinador del evento, puso a disposición y probó sus propios productos, entre ellos un módem, un sistema de infoentretenimiento y un vehículo Model Y. Los piratas informáticos participantes procedían de países como Vietnam, EE.UU. y Japón, pero también de Gran Bretaña, Hungría, Holanda, Francia y Alemania y llevaron a cabo sus ataques en parte de forma remota y en parte in situ. Desde Alemania, por ejemplo, participaron el equipo Tortuga (remoto) y el equipo fuzzware.io, realizando sus hacks in situ.

Los piratas informáticos éticos de fuzzware.io han apuntado con éxito al controlador de carga “Sony SEC-3100” en la categoría de cargadores de vehículos eléctricos. Con seis intentos de piratería, estuvieron entre los participantes más ocupados del hackathon. Team Tortuga también revisó la estación de carga ChargePoint Home Flex en la categoría de cargadores de vehículos eléctricos para detectar posibles vulnerabilidades de seguridad. Con unas ganancias totales de 177.500 dólares estadounidenses, el equipo alemán fuzzware.io obtuvo un muy buen segundo puesto y sólo fue superado por el equipo ganador Synacktiv de Francia con unas ganancias totales de 450.000 dólares estadounidenses, que ahora además de la victoria general también ostenta el título de "Master of Pwn". El evento multinacional sirvió para conectar y conectar la industria automotriz con la industria de la ciberseguridad y resaltar posibles amenazas.