El día en el que [los coches puedan comunicarse entre sí][1] -y con los [semáforos][2], las señales de stop, los guardarraíles e incluso las marcas de la carretera- está [acercándose rápidamente][3]. Este tipo de sistemas inteligentes ya se está implementado en muchas carreteras de EE.UU. bajo la premisa de que pueden [reducir los atascos][4] y [evitar colisiones][5].
Por ejemplo, el sistema [Intelligent Traffic Signal System][6] desarrollado [con ayuda de la Agencia de Transporte de EE.UU][7] ha sido probado en carreteras públicas de Arizona y de California y está siendo implementado de forma más generalizada en ciudades como [Nueva York][8] o [Tampa, en Florida][9]. Este sistema permite a los vehículos compartir su localización y su velocidad a tiempo real con los semáforos, algo que se puede utilizar para optimizar el ritmo del tráfico en coordinación con la demanda a tiempo real y así [reducir de forma drástica el tiempo de espera de un vehículo en una intersección][4].
[Nuestro trabajo][10] desde el grupo de investigación [RobustNet Research Group][11] y desde el [Michigan Traffic Laboratory][12] de la Universidad de Míchigan se centra en asegurar que estos sistemas de transporte de última generación sean seguros y estén protegidos contra ataques.
Hasta ahora nos hemos dado cuenta de que se pueden trucar muy fácilmente. Un solo coche que transmita datos falsos puede causar un atasco enorme, y un ataque con datos de varios coches podría causar el caos en toda una zona. Lo más preocupante es que nuestra investigación no ha encontrado dichas vulnerabilidades en la tecnología de transferencia de datos, sino en los [algoritmos que se utilizan para gestionar la fluidez del tráfico][13].
Engañando a un algoritmo
En general, los algoritmos están diseñados para procesar varios datos de entrada (como el número de coches en diferentes lugares cerca de una intersección) y calcular el resultado que concuerde con un objetivo concreto (como minimizar los retrasos de los vehículos por culpa de los semáforos). Al igual que la mayoría de los algoritmos, el algoritmo que controla el tráfico en este sistema de señales de tráfico inteligentes (con el sobrenombre "I-SIG") asume que los datos que recibe son verídicos. Pero no es un método seguro.
El hardware y el software de los coches modernos se puede modificar, ya sea [de forma física a través de los puertos de diagnóstico del coche][14] o [a través de conexiones inalámbricas][15] para ordenar al coche que transmita información falsa. Una persona que desee comprometer el sistema I-SIG podría hackear su propio coche mediante alguno de estos métodos, conducir el coche hasta la intersección en cuestión y aparcar en algún lugar cercano.
Hemos descubierto que en cuanto el coche se encuentra aparcado cerca de la intersección puede aprovecharse de dos puntos débiles en el algoritmo que controla los semáforos para prolongar el tiempo que un carril concreto está en verde, así como el tiempo en el que otro carril está en rojo.
La primera vulnerabilidad de la que nos dimos cuenta es lo que llamamos "la ventaja del último vehículo": una forma de prolongar la duración de un semáforo en verde. El algoritmo vigila los coches que se aproximan, hace una estimación de la longitud de la fila de coches y determina cuánto tiempo cree que les va a llevar a todos los vehículos del carril cruzar la intersección.
Esta lógica hace que el sistema pueda ayudar a tantos vehículos como sea posible en cada tanda de cambios de semáforo, pero puede ser usada de forma poco ética: un atacante puede ordenar a su coche que le diga al sistema que se ha unido a la fila de coches cuando realmente está mucho más retrasado. En este caso el algoritmo hará que la luz se mantenga en verde el tiempo suficiente para que este coche que no está esperando pueda pasar, haciendo que el resto de direcciones permanezcan en rojo durante más tiempo del necesario.
A la segunda vulnerabilidad que encontramos en el sistema la denominamos "la maldición del periodo de transición" o "el ataque del vehículo fantasma". El algoritmo I-SIG ha sido programado para que tenga en cuenta que no todos los vehículos son capaces aún de transmitir información. Utiliza los patrones de conducción y la información de los coches más nuevos y conectados para deducir la localización y la velocidad de los coches antiguos que no tienen capacidad de transmitir información. Por eso, si un coche interconectado avisa de que está parado a bastante distancia de una intersección, el algoritmo asumirá que se debe a que hay una cola larga de vehículos delante y establecería luz verde para ese carril porque piensa que hay una cola larga de vehículos cuando realmente no la hay.
Estos ataques se producen cuando se truca un dispositivo para que mienta sobre su posición y su velocidad. Algo muy diferente a los ciberataques que normalmente conocemos, como puede ser introducir mensajes en [comunicaciones no encriptadas][16] o que un usuario no autorizado se conecte [con una cuenta con privilegios][17]. Por lo tanto, las protecciones conocidas contra los ataques no pueden hacer nada ante dispositivos que mienten.
Resultados de un algoritmo desinformado
Utilizando cualquier de estos ataques o una combinación de ambos, el atacante puede hacer que los semáforos se pongan en verde durante un periodo muy largo de tiempo cuando apenas hay tráfico en el carril correspondiente o hacer que los semáforos permanezcan en rojo en carriles muy concurridos, algo que puede causar pequeñas retenciones y acabar formando grandes atascos.
Un ataque de congestión de tráfico en un sistema de control de semáforos.
Este tipo de ataques a los semáforos podría realizarse simplemente por diversión o para beneficiar al atacante. Imagínate por ejemplo que una persona que quiere llegar antes al trabajo ajuste los semáforos según le convenga perjudicando al resto de conductores. También se puede dar el caso de criminales que se aprovechen de este sistema para escapar más rápido de la escena de un crimen o de la persecución de la policía controlando los semáforos.
También existen riesgos a nivel político o financiero: un grupo coordinado podría sembrar el caos en varios cruces claves de una ciudad y solicitar el pago de un rescate. Es una forma mucho más problemática y con menos consecuencias que otras formas de bloquear una intersección, como puede ser aparcando un vehículo en medio del tráfico.
Dado que este tipo de ataques explotan el propio algoritmo de control del tráfico, repararlo requiere un esfuerzo conjunto de expertos en transporte y ciberseguridad, algo que incluiría tener en cuenta una de las principales lecciones que hemos aprendido con nuestro trabajo: los sensores que utilizan los sistemas interactivos (como los de los vehículos del sistema I-SIG) no son del todo fiables. Antes de empezar con los cálculos, los algoritmos deberían intentar validar los datos que están utilizando. Por ejemplo, un sistema de control de tráfico podría utilizar otros sensores (como los sensores dentro de las carreteras que ya se utilizan en muchas partes de EE.UU.) para verificar el número de coches que se encuentran en la carretera.
Esto es solamente el comienzo de nuestra investigación sobre los nuevos tipos de problemas de seguridad en los sistemas de transporte inteligente del futuro y esperamos descubrir más vulnerabilidades, así como identificar las maneras de hacer que las carreteras sean seguras y proteger a los conductores.
Autores:
- Qi Alfred Chen, Doctor en Ciencia de la Computación e Ingeniería, Universidad de Michigan
- Z. Morley Mao, Profesor de Ingeniería Eléctrica y Ciencias de la Computación, Universidad de Michigan
Este artículo ha sido publicado originalmente en The Conversation. Puedes leer el artículo original aquí
Traducido por Silvestre Urbón
Foto | iStock
Ver 40 comentarios