Hackeo de bicicletas: cómo funciona y cuáles son los riesgos

Siguiente
Christian Ali Bravo

En un mundo donde todo está conectado a Internet, las bicicletas también pueden ser vulnerables. Te contamos cómo es posible manipularlas y las consecuencias que puede tener la intervención de actores malintencionados en sus sistemas.

Recientemente, un equipo de investigadores de la Universidad de California de San Diego y de la Universidad Northeastern presentó en el Usenix Workshop on Offensive Technologies, una técnica que, valiéndose de la ayuda de un hardware, permitía vulnerar los sistemas inalámbricos de cambio de velocidades de las bicicletas Shimano.

Esto abre un panorama tan novedoso como preocupante: ¿cómo es posible hackear una bicicleta? ¿Cuáles son las consecuencias que podría tener para los usuarios? ¿Hay manera de estar prevenido? Todo esto, te lo contamos a continuación.

¿Cómo se hackea una bicicleta?

El equipo de investigadores de la Universidad de California y de la Universidad Northeastern detrás de este descubrimiento demostró cómo vulnerar los controles inalámbricos Di2 de la empresa japonesa de componentes para ciclismo Shimano, muy utilizados en la alta competencia como el Tour de France o los Juegos Olímpicos.

Puntualmente, llevaron adelante un ataque por radio a los modelos 105 Di2 y Dura-Ace Di2 mediante el cual podían manipular las señales desde una distancia de hasta 10 metros. ¿Qué implicaba esta intrusión? El poder cambiar la velocidad de la bicicleta de manera intempestiva o hasta bloquear la palanca de cambios.

Para poder consumar este ataque, se valieron de una radio definida por software USRP (cuyo costo es de unos 1.500 dólares), una antena y una computadora portátil. Y demostraron las vulnerabilidades que los sistemas Shimano traían aparejadas, como por ejemplo falta de mecanismos para prevenir ataques de repetición, susceptibilidad a interferencias dirigidas y fuga de información.

¿Cuáles pueden ser las consecuencias del hackeo?

El que un atacante pueda interferir la caja de cambios, velocidades y la palanca de cambio constituye un riesgo muy serio para el ciclista, al punto de poner en riesgo su vida. Recordemos que gracias las vulnerabilidades halladas en los sistemas, el atacante puede capturar y retransmitir comandos de cambio de marcha, desactivar el cambio en una bicicleta objetivo específica y hasta inspeccionar la telemetría de una bicicleta objetivo

Al tener la potestad de cambiar de velocidades de manera inesperada o manipular la palanca de cambio, el atacante podría controlar el andar de la bicicleta y hacer perder el control a la víctima, ocasionando un grave accidente.

Otro punto importante a tener en cuenta es el sabotaje, sobre todo en la alta competencia, afectando el rendimiento de un deportista. De hecho, los propios investigadores afirmaron a Wired que un atacante podría emitir una señal de interferencia en la frecuencia que utilizan todos los cambios Shimano; y hasta interferir a todos menos a uno.

¿Cómo prevenir este tipo de hackeo?

Advertido de esta situación, Shimano tomó cartas en el asunto, desarrollando una actualización que parchea las vulnerabilidades antes mencionadas. “La actualización del firmware ya se ha proporcionado a los equipos de carreras profesionales femeninos y masculinos y estará disponible para todos los ciclistas en general a finales de agosto. Con esta versión, los ciclistas pueden actualizar el firmware del cambio trasero mediante nuestra aplicación para smartphone E-Tube Cyclist”, indicó la marca.

Y si bien el descubrimiento de este grupo de investigadores se centró en la marca japonesa, el escenario que se abre para todas las marcas que utilizan ese mismo tipo de tecnología es, al menos, para prestar atención. Entonces, la importancia de estar al día con las actualizaciones de software vuelve a ser fundamental para que todo siga marchando sobre ruedas, y no toparse con alguna piedra en el camino.

Por otro lado, este escenario es un recordatorio de que es necesario estar alertas de que cualquier dispositivo que se conecta a internet puede ser vulnerable, expandiendo así la superficie de ataque para los ciberdelincuentes.