Un día en la vida de la ciberseguridad de la industria automotriz

Para Chris Vickery todo comenzó en un día de trabajo típico. El director de investigación de riesgos cibernéticos para UpGuard estaba haciendo un escaneo de puertos, un proceso de cómputo similar a tocar la puerta para ver quién está en casa. Se trata de una rutina que él realiza casi a diario en un intento por saber qué computadoras están expuestas a la intromisión de los hackers.

La misión de UpGuard como startup especializada en ciberseguridad es alertar sobre filtraciones de datos. Como parte de ese esfuerzo, la empresa contrató a Vickery, quien acaparó la atención por encontrar mucha información sensible que está disponible a través de internet. Ha descubierto detalles de cuentas de 13 millones de usuarios en línea de MacKeeper de Apple, así como información de casi todos los electores estadounidenses que pusieron datos en línea a disposición de una consultora republicana, junto con la evidencia de que un aeropuerto de Nueva York había dejado en línea archivos altamente sensibles y sin seguridad durante casi un año.

En la mañana del 1 de julio, Vickery estaba haciendo un escaneo aleatorio de direcciones del protocolo de internet a través del puerto 873. Fue entonces que advirtió un par de unidades de disco duro que estaban aceptando conexiones del internet público.

Los números de puertos son una especie de direcciones para aquellas puertas que Vickery estaba tocando. La mayoría del tráfico de internet cruza por el puerto 80 o el puerto 443, los cuales se usan para transitar a y desde direcciones http y https. El puerto 873 se hace a un lado para dar cabida a una herramienta de sincronización de archivos remoto de fuente abierta. Esa herramienta, conocida como rsync, se usa generalmente para respaldar archivos. El puerto 873 puede restringirse a computadoras y usuarios confiables mediante la colocación de una puerta sencilla.

Pero lo que Vickery descubrió ese día fue un par de unidades de disco duro de respaldo que estaban completamente expuestas al tráfico del internet público. La puerta estaba bien abierta.

Los profesionales de seguridad lamentan que las industrias tiendan a subestimar los riesgos que enfrentan hasta que un gran acto de piratería cibernética o una fisura los sobresalta. La llamada de alerta de la industria automotriz, concretamente por lo que concierne a la ciberseguridad de los vehículos conectados, tuvo lugar hace tres años, cuando los investigadores en la materia Chris Valasek y Charlie Miller difundieron una vulnerabilidad que les permitió hackear un Jeep Cherokee.

Muchos expertos en seguridad intentan llamar la atención de las industrias detectando vulnerabilidades y haciendo que las empresas sean conscientes de la violación de datos.

El encontrar una puerta abierta como la que Vickery descubrió esa mañana de julio no es algo particularmente inusual. El propio Vickery dice que sus escaneos de rutina derivan en datos sin protección más o menos una vez por semana, y los sistemas automatizados de UpGuard encuentran diariamente miles de violaciones de datos más pequeñas.

Sin embargo, en cuanto Vickery descargó los datos, pudo advertir que podría tratase de información sensible. Uno de los directorios tenía por nombre “Archivos de clientes”. Según dijo, “ese es siempre un directorio sustancioso”.

E incluso resultó más sustancioso: dentro del directorio había una carpeta llamada “Tesla”. Fue entonces cuando Vickery se percató de que ésta era probablemente una importante violación de datos.

“Tengo la impresión de que los datos relacionado con Tesla están por lo general sumamente protegidos y que la empresa busca que se respete esa protección”, agregó Vickery.

El especialista se aprestó a teclear en Google las palabras “Level One”, nombre de la empresa a la que pertenecían las unidades de disco duro. En cuanto vio que la compañía de Windsor, Ontario, ofrecía automatización y robótica a la industria automotriz, se dio cuenta de que acaba de descubrir un conjunto de datos extremadamente sensibles. Los archivos ponían de manifiesto toda la relación entre la empresa de robótica y su hermético cliente, un fabricante de autos eléctricos.

“Había acuerdos de confidencialidad, fotos de la planta de producción de Tesla, diagramas asistidos por computadora de sus fábricas. No es que estuviera el 100 por ciento de los archivos necesarios para construir una fábrica de Tesla, pero sí había ahí una cantidad sorprendente de ellos. Me pareció que era algo por lo que un abogado de Tesla hubiera sufrido un infarto al saber que esa información estaba disponible en el internet abierto”, explicó Vickery.

Los datos no sólo se relacionaban con Tesla. General Motors, Ford, Fiat Chrysler, Volkswagen y Toyota tenían proyectos con Level One, y sus datos eran revelados gracias a esa grieta. Se exponía información que podía haber ayudado a los piratas informáticos a causar mayor lío, incluyendo detalles de cuentas bancarias, formas para solicitar el acceso a la red privada virtual y solicitudes de tarjetas de identificación, así como detalles personales de los empleados de Level One, tales como copias escaneadas de licencias y pasaportes.

En suma, 157 gigabytes de datos sensibles estaban expuestos. Para dar una idea de lo anterior, una hora de video en streaming utiliza aproximadamente 1 GB de datos, de modo que la violación de datos equivalía a alrededor de seis y media horas continuas de televisión.

Dada la cantidad de datos y el nivel de detalles descritos, Vickery pudo determinar rápidamente que no se trataba de una “bandera falsa” para tomarle el pelo o hacer quedar mal a Level One. Por lo tanto, dio el siguiente paso: enviarle un email estandarizado a Milan Gasko, director general de Level One, para informarle sobre la fisura encontrada.

A los pocos días envió el email. Pero después no ocurrió nada; nadie respondió.

Vickery explicó que es bastante común ser ignorado en un acercamiento inicial, dado que las empresas piensan a menudo que se trata de un estafador abusando de los peores temores de una compañía.

Varios días después, y aún sin respuesta, Vickery llamó a Level One y habló con una recepcionista que le dijo que el director general no solía darle seguimiento a la dirección de correo electrónico a la que él se había dirigido. Ella tomó nota del mensaje y dijo que le devolvería la llamada a la mañana siguiente.

“Aproximadamente 45 minutos más tarde recibí la llamada”, aseguró Vickery. En cuanto habló por teléfono con la compañía, estaba claro que la situación se estaba tomando con mucha seriedad.

Vickery describió lo que vio, así como el tipo de dispositivos a los que probablemente se había accedido con base en el número de bits de metadatos expuestos.

La compañía encontró los dispositivos de almacenamiento mientras Vickery estaba en la línea y resolvió el problema en un instante, con un movimiento sencillo: desconectándolos.

Ya con la certeza, Vickery escaneó nuevamente los puertos, que ya no estaban. La grieta estaba protegida, al menos temporalmente.

Frente a la pregunta de si la mayoría de las grietas se resuelven tan fácilmente, Vickery se rio. “Por lo regular, no basta con simplemente desenchufar el dispositivo”, dijo. “Generalmente se requiere un poco más que eso”.

En vista de que no había señales de actividad criminal o evidencia de que los datos expuestos habían sido vistos por alguien más que el propio Vickery, lo único que quedaba por hacer era redactar un reporte oficial de UpGuard.

A Vickery todavía no le queda del todo claro cómo es que los dispositivos de almacenamiento se dejaron abiertos al tráfico público, públicamente grabables, y Level One no dice nada. La compañía se rehusó a comentar al respecto para este reporte.

“En Level One han sido muy humildes y amables, pero han recurrido a asesoría externa, y yo estoy firmando una declaración en donde establezco que he eliminado toda la información a la que tuve acceso”, agregó el experto.

Vickery sostiene que, en su mayoría, las violaciones de datos se deben a errores sencillos, como los “dedazos” al momento de teclear el código o a la conexión de una base de datos al puerto equivocado en un cuarto de servidores. Y agrega que, especialmente a medida que las empresas manufactureras se reinventan a sí mismas para el paradigma hiperconectado, impulsado por datos, siempre habrá algún riesgo de un error involuntario que deje expuestos los datos sensibles.

En el ámbito manufacturero, continúa, los proveedores están tratando frecuentemente de competir entre sí por los precios, y muchas empresas ven a la seguridad como un gasto adicional. Pero el axioma “si no está roto, no lo arregles” no funciona en el mundo conectado.

“Ahora bien, el problema fundamental en materia de seguridad es que tienes los ojos cerrados, así que no te das cuenta de que algo está roto. Nunca sabes que los malos se están metiendo”, advierte Vickery.

Y explica que si una compañía no tiene los recursos para contratar a un proveedor como UpGuard, hay una forma sencilla de monitorear la seguridad de la base de datos: “Basta pedirle a alguien del equipo de TI que se vaya temprano a casa con una lista de tus direcciones IP y pedirle que intente conectarse a tus sistemas sin ningún acceso privilegiado. Si todas las empresas hicieran eso una vez al mes, probablemente yo no tendría empleo”.