Jul 21, 2023
El pirateo de cargadores de vehículos eléctricos plantea un riesgo "catastrófico"
Tik Root Esta historia fue publicada en colaboración con Grist, una organización de medios sin fines de lucro que cubre el clima, la justicia y las soluciones. Con su Kia EV6 eléctrico quedándose sin energía, Sky Malcolm se detuvo en un banco
Raíz de tik
Esta historia fue publicada en colaboración con Grist, una organización de medios sin fines de lucro que cubre el clima, la justicia y las soluciones.
Con su Kia EV6 eléctrico quedándose sin energía, Sky Malcolm se detuvo en un banco de cargadores rápidos cerca de Terre Haute, Indiana, para enchufarlo. Mientras su auto se encendía, echó un vistazo a los cargadores cercanos. Uno en particular destacó.
En lugar de la pantalla de bienvenida profesional que se muestra en las otras unidades de Electrify America, esta mostraba una imagen del presidente Biden señalando con el dedo y diciendo "¡Yo hice eso!" subtítulo. Era el mismo meme que los críticos del presidente comenzaron a poner en los surtidores de gasolina cuando los precios se dispararon el año pasado, clonado 20 veces en la pantalla.
"Desafortunadamente, no fue muy sorprendente", dice Malcolm sobre el hackeo con el que se topó el otoño pasado. Este tipo de travesuras son cada vez más comunes. Al comienzo de la guerra en Ucrania, los piratas informáticos modificaron las estaciones de carga a lo largo de la autopista Moscú-San Petersburgo. en Rusia para saludar a los usuarios con mensajes anti-Putin. Casi al mismo tiempo, los cibervándalos en Inglaterra programaron cargadores públicos para transmitir pornografía. Precisamente este año, los presentadores del canal de YouTube The Kilowatts tuitearon un vídeo que mostraba que era posible tomar el control de el sistema operativo de una estación de Electrify America.
Si bien hasta ahora estas violaciones han sido relativamente inocuas, los expertos en ciberseguridad dicen que las consecuencias serían mucho más graves en manos de malhechores verdaderamente nefastos. A medida que las empresas, los gobiernos y los consumidores se apresuran a instalar más cargadores, los riesgos solo podrían aumentar. En los últimos años, investigadores de seguridad y piratas informáticos de sombrero blanco han identificado vulnerabilidades generalizadas en el hardware de carga público y doméstico conectado a Internet que podrían exponer los datos de los clientes, comprometer redes Wi-Fi y, en el peor de los casos, provocar la caída de las redes eléctricas. Dados los peligros, todos, desde los fabricantes de dispositivos hasta la administración Biden, se apresuran a fortalecer estas máquinas cada vez más comunes y establecer estándares de seguridad.
"Este es un problema importante", dice Jay Johnson, investigador de ciberseguridad de Sandia National Laboratories. "Es potencialmente una situación muy catastrófica para este país si no lo hacemos bien".
Gregorio Barbero
adrien so
Julian Chokkattu
Matt Simón
Las vulnerabilidades en la seguridad del cargador de vehículos eléctricos no son difíciles de encontrar. Johnson y sus colegas resumieron las deficiencias conocidas en un artículo publicado el otoño pasado en la revista Energies. Encontraron de todo, desde la posibilidad de que los piratas informáticos puedan rastrear a los usuarios hasta vulnerabilidades que "pueden exponer las redes [Wi-Fi] domésticas y corporativas a una infracción". Otro estudio, dirigido por la Universidad Concordia y publicado el año pasado en la revista Computers & Security, destacó más de una docena de clases de "vulnerabilidades graves", incluida la capacidad de encender y apagar cargadores de forma remota, así como implementar malware. La firma de investigación Pen Test Partners pasó 18 meses analizando siete modelos populares de cargadores para vehículos eléctricos y descubrió que cinco tenían fallas críticas. Por ejemplo, identificó un error de software en la popular red Chargepoint que los piratas informáticos probablemente podrían explotar para obtener información confidencial del usuario (el equipo dejó de investigar antes de adquirir dichos datos). Un cargador vendido en el Reino Unido por Project EV permitió a los investigadores sobrescribir su firmware.
Es posible que tales grietas permitan a los piratas informáticos acceder a los datos de los vehículos o a la información de las tarjetas de crédito de los consumidores, afirma Ken Munro, cofundador de Pen Test Partners. Pero quizás la debilidad más preocupante para él fue que, al igual que con las pruebas de Concordia, su equipo descubrió que muchos de los dispositivos permitían a los piratas informáticos detener o comenzar a cargar a voluntad. Eso podría dejar a los conductores frustrados sin una batería llena cuando la necesitan, pero son los impactos acumulativos los que podrían ser realmente devastadores.
"No se trata del cargador, se trata del cargador de todos al mismo tiempo", afirma. Muchos usuarios domésticos dejan sus automóviles conectados a cargadores incluso si no consumen energía. Por ejemplo, podrían enchufarlo después del trabajo y programar el vehículo para que se cargue durante la noche, cuando los precios son más bajos. Si un pirata informático encendiera o apagara miles o millones de cargadores simultáneamente, podría desestabilizar e incluso provocar la caída de redes eléctricas enteras. "Sin darnos cuenta, hemos creado un arma que los estados-nación pueden usar contra nuestra red eléctrica", dice Munro. Estados Unidos vislumbró cómo podría ser un ataque de este tipo en 2021 cuando los piratas informáticos secuestraron Colonial Pipeline e interrumpieron el suministro de gasolina en todo el país. El ataque terminó cuando la empresa pagó millones de dólares en rescate.
La principal recomendación de Munro para los consumidores es no conectar sus cargadores domésticos a Internet, lo que debería evitar la explotación de la mayoría de las vulnerabilidades. Sin embargo, la mayor parte de las salvaguardias deben provenir de los fabricantes.
"Es responsabilidad de las empresas que ofrecen estos servicios asegurarse de que sean seguros", dice Jacob Hoffman-Andrews, tecnólogo senior de Electronic Frontier Foundation, una organización sin fines de lucro de derechos digitales. "Hasta cierto punto, tienes que confiar en el dispositivo que estás conectando". Electrify America rechazó una solicitud de entrevista. Con respecto a los problemas documentados por Malcolm y los Kilowatts, el portavoz Octavio Navarro escribió en un correo electrónico que los incidentes fueron aislados y las soluciones se implementaron rápidamente. En un comunicado, la compañía dijo: "Electrify America monitorea y refuerza constantemente las medidas para protegernos a nosotros mismos y a nuestros clientes y se enfoca en el diseño de estaciones y redes para mitigar los riesgos".
Gregorio Barbero
adrien so
Julian Chokkattu
Matt Simón
Pen Test Partners escribió en sus hallazgos que, en general, las empresas respondieron a la tarea de solucionar las vulnerabilidades que identificaron, y ChargePoint y otros taparon las brechas en menos de 24 horas (aunque una empresa creó un nuevo agujero al intentar reparar el anterior). Project EV no respondió a Pen Test Partners, pero finalmente implementó "autenticación y autorización sólidas". Los expertos, sin embargo, sostienen que ya es hora de que la industria vaya más allá de este enfoque de golpear al topo en materia de ciberseguridad.
"Todo el mundo sabe que se trata de un problema y mucha gente está tratando de encontrar la mejor manera de resolverlo", afirma Johnson, y añade que ha visto avances. Por ejemplo, muchas estaciones de carga públicas se han actualizado a métodos más seguros de transmisión de datos. Pero en cuanto a un conjunto coordinado de estándares, dice, "no existe mucha regulación".
Ha habido algún movimiento para cambiar eso. La Ley Bipartidista de Infraestructura de 2021 incluyó unos 7.500 millones de dólares para ampliar la red de carga de vehículos eléctricos en todo Estados Unidos, y la administración Biden ha hecho de la ciberseguridad parte de esa iniciativa. El otoño pasado, la Casa Blanca convocó a fabricantes y responsables políticos para discutir un camino para garantizar que el hardware de carga de vehículos eléctricos, cada vez más vital, esté adecuadamente protegido. "Nuestra infraestructura crítica debe alcanzar un nivel básico de seguridad y resiliencia", dice Harry Krejsa, estratega jefe de la Oficina del Director Cibernético Nacional de la Casa Blanca. También argumentó que reforzar la ciberseguridad de los vehículos eléctricos consiste tanto en generar confianza como en mitigar el riesgo. Los sistemas seguros, afirma, “nos dan la confianza en nuestras bases digitales de próxima generación para apuntar más alto de lo que podríamos haber logrado de otra manera”.
A principios de este año, la Administración Federal de Carreteras finalizó una norma que exige que los estados implementen estrategias de ciberseguridad "apropiadas" para los cargadores financiados en virtud de la ley de infraestructura. Pero Johnson dice que la regulación omite los dispositivos instalados fuera de esa expansión, sin mencionar las más de 100.000 unidades que ya están instaladas en todo el país. Además, dice, los estados no han ofrecido muchos detalles sobre lo que harán. "Si profundizas en los planes estatales, encontrarás que en realidad son extremadamente livianos en cuanto a los requisitos cibernéticos", dice. "La gran mayoría que vi simplemente dice que seguirán las mejores prácticas".
Lo que constituye una mejor práctica sigue estando mal definido. Johnson y sus colegas de Sandia publicaron recomendaciones para los fabricantes de cargadores y señalaron que el Instituto Nacional de Estándares y Tecnología está desarrollando un marco para la carga rápida que podría ayudar a dar forma a la regulación futura. Pero, en última instancia, le gustaría ver algo parecido a la Ley de Protección y Transformación de la Atención Médica Cibernética de 2022 que esté orientada a los vehículos eléctricos.
“La regulación es una forma de impulsar a toda la industria a mejorar sus estándares básicos de seguridad”, dice, señalando leyes recientes en otros países como modelos o puntos de partida para los formuladores de políticas en Estados Unidos. El año pasado, por ejemplo, el Reino Unido implementó una serie de requisitos para los cargadores de vehículos eléctricos, como estándares mejorados de cifrado y autenticación, alertas de detección de manipulación y funcionalidad de retraso aleatorio.
Esto último significa que un cargador debe poder encenderse y apagarse con un retraso aleatorio de hasta 10 minutos. Eso mitigaría el impacto de que todos los cargadores en un área se conecten simultáneamente después de un corte de energía o un pirateo. "No se produce ese pico, lo cual es fantástico", dice Munro. "Elimina la amenaza de la red eléctrica".
Johnson es optimista y cree que la industria avanza en la dirección correcta, aunque más lentamente de lo ideal. “No puedo imaginar que no sucedan [estándares más estrictos]. Simplemente está llevando mucho tiempo”, afirma. Y ciertamente no quiere provocar alarmas indebidas, sino más bien ejercer una presión constante para mejorar.
"Es algo aterrador", dice, "pero no debería infundir miedo".