Este artículo apareció originalmente en el blog del Consejo Tecnológico de Forbes. Haga clic en el siguiente enlace para ver la versión completa.
Imagina que, por la razón que sea, te enteras de que eres el objetivo de una cibermafia de élite. No te lo tomas en serio hasta que vas conduciendo por la autopista y sospechas que alguien ha manipulado tu vehículo. Al ver que el tráfico aumenta rápidamente, frenas de golpe y no pasa nada. Intentas desviarte hacia el arcén, pero el volante se mueve en dirección contraria. La única opción es prepararse para el impacto.
Tal escenario puede sonar a ciencia ficción, pero en los últimos años, los investigadores de ciberseguridad han demostrado la viabilidad de este tipo de ataques. En el ámbito de la automoción, este problema llevó a los investigadores de seguridad a obtener cierto grado de control remoto sobre varios modelos de vehículos, como el Jeep Cherokee en 2015 y el Tesla Model S en 2016. Los investigadores también han demostrado maniobras similares en dispositivos médicos, equipos industriales y cámaras corporales de la policía.
Una de las cosas que tienen en común muchos de estos ataques es que el fabricante del dispositivo en cuestión o bien no contaba con un proceso para firmar el código o bien no se molestó en firmar el código que se ejecutaba en esos dispositivos. Cuando se firma un fragmento de código, se declara que software procede de su organización y que usted lo respalda. Envías el mensaje de que el código cumple tus directrices de control de calidad, normas de seguridad y demás. Por eso gigantes tecnológicos como Microsoft y Apple firman digitalmente sus parches y actualizaciones. Les permite decir: "Sólo voy a instalar una actualización si procede de la nave nodriza corporativa y no de un atacante".
