Este artículo apareció originalmente en el blog del Consejo de Tecnología de Forbes. Haga clic en el siguiente enlace para ver la versión completa.
Imagine que, por alguna razón, se entera de que es el objetivo de una cibermafia de élite. No lo toma en serio hasta que conduce por la autopista y sospecha que alguien ha manipulado su vehículo. Al ver que el tráfico se acumula rápidamente, pisa los frenos y no ocurre nada. Intenta girar hacia el arcén, pero el volante se mueve en dirección opuesta. La única opción es prepararse para el impacto inminente.
Un escenario así puede sonar a ciencia ficción, pero en los últimos años, los investigadores de ciberseguridad han demostrado la viabilidad de tales ataques. En el ámbito automotriz, este problema llevó a los investigadores de seguridad a obtener cierto grado de control remoto sobre varios modelos de vehículos, como el Jeep Cherokee en 2015 y el Tesla Model S en 2016. Los investigadores también han demostrado hazañas similares en dispositivos médicos, equipos industriales y cámaras corporales de la policía.
Una de las cosas que muchos de estos ataques tienen en común es que el fabricante del dispositivo en cuestión o bien no tenía un proceso establecido para la firma de código, o directamente no se molestó en firmar el código que se ejecutaba en esos dispositivos. Cuando se firma un fragmento de código, se declara que el Software proviene de su organización y que usted lo respalda. Se envía un mensaje de que el código cumple con sus directrices de garantía de calidad, estándares de seguridad, etc. Por eso, gigantes tecnológicos como Microsoft y Apple firman digitalmente sus parches y actualizaciones. Esto les permite decir: «Solo instalaré una actualización si proviene de la central corporativa y no de un atacante».
