Dos hackers argentinos presentaron este jueves “evilDoggie”, un dispositivo para testear la seguridad de los sistemas informáticos que usan los autos en el segundo día de Black Hat, una de las conferencias de ciberseguridad más grandes del mundo. Octavio Gianatempo y Gastón Aznarez, de Faraday Security, mostraron cómo identificar agujeros de seguridad en algunas marcas de autos con esta herramienta.
El nombre de la herramienta es un juego de palabras con el protocolo “CAN” (sigla de Controller Area Network), que es un estándar de comunicación interna que usan los autos modernos para que las distintas computadoras internas (como las que controlan el motor o los frenos) se comuniquen entre sí.
Durante la presentación en el “Arsenal” de la conferencia, un espacio donde se muestran programas y distintas piezas de hardware, los investigadores mostraron cómo usar la herramienta, que incluso tiene un switch para cambiar de su versión de monitoreo (Doggie) a su versión “malvada”, usada para atacar este protocolo. Además hicieron un taller para que los asistentes puedan aprender a usarlo.
La investigación se enmarca en el “Car hacking”, una de las áreas más populares de las conferencias de ciberseguridad. “El car hacking pone foco en los conocimientos existentes de la ciberseguridad pero aplicado a las redes que usan los autos. Durante los últimos años, los vehículos se volvieron ‘más inteligentes’ y conviven con sistemas electrónicos. Parafraseando a Elon Musk, son ‘computadoras con ruedas’”, explicaron desde Faraday Security a este medio.
“Todas estas redes son propietarias, no están pensadas con transparencia. Ahí entra la función de los expertos de seguridad, en entender cómo funcionan y qué riesgos implican las tecnologías”, agregaron.
Cómo funciona y para qué sirve evilDoggie
La investigación de la empresa comenzó como una exploración sobre la seguridad automotriz. “Cuando empezamos a investigar nos dimos cuenta de que íbamos a necesitar una herramienta para comunicarnos con las computadoras del auto. Pero encontramos que no había una buena opción abierta y disponible en Argentina. Gastón tuvo la idea de desarrollar esta herramienta pensando su firmware y hardware de forma modular, para que cualquiera pueda construir la suya con los componentes que tenga a mano, e incluso desarrollar otras versiones”, cuenta a Clarín Octavio Gianatiempo, investigador de la compañía.
Gastón Aznarez complementa cómo el proyecto viró hacia la seguridad ofensiva, una rama de la ciberseguridad que se dedica a atacar sistemas para encontrar vulnerabilidades y, eventualmente, arreglarlas. “Esta primera herramienta fue Doggie, pero la idea fue creciendo, sumamos capacidades ofensivas, así terminó naciendo evilDoggie, enfocado en la investigación con la posibilidad de realizar ataques avanzados a la comunicación por CAN tanto a nivel de protocolo como a nivel físico, interfiriendo con el circuito a nivel eléctrico”, explica.
«Las funcionalidades de Doggie y los ataques de evilDoggie pueden ser usadas para afectar la comunicación entre las ECUs [unidades de control electrónico] de un auto y crear condiciones que no son esperadas por el sistema. Hoy en día, los autos tienen varias computadoras y casi todas las funciones del auto son controladas por ellas mediante mensajes CAN. Si bien los autos modernos van incorporando medidas de seguridad en esta comunicación, existen casos conocidos donde este tipo de ataques puede tener impacto real”, complementó el hacker.
“evilDoggie” no es el primer dispositivo que puede testear la seguridad de un auto y, de hecho, el “Flipper Zero”, conocido como la “navaja suiza hacker”, ha sido protagonista en varios videos viralizados donde se muestra cómo abrir la puerta de un auto sin tener la llave. Esto es porque el dispositivo opera con los protocolos inalámbricos, que son distintos a los que apunta evilDoggie.
“La comunicación entre las partes del auto, por ejemplo, entre el motor y las ruedas, es por cables. Con lo cual para poder usar evilDoggie hay que previamente tener acceso al auto: el objetivo es ver, una vez dentro del auto, cuán seguro es este protocolo y cómo se podría mejorar”, dicen desde Faraday.
Lo que aporta este desarrollo argentino es una versión de código abierto (todo el proceso de construcción y programación está accesible para ser consultado) y el bajo nivel al que opera, esto es, interactuar de manera directa con el hardware o los protocolos de comunicación del auto. En lugar de usar programas o interfaces ya diseñadas, evilDoggie permite acceder a capas más cercanas a los chips que están embebidos en los autos modernos, como es este protocolo CAN.
“La ciberseguridad no es exclusiva de las computadoras y los servidores, sino también de la tecnología que usamos todos los días: los autos no son la excepción”, explicaron desde la empresa.
Clarín consultó sobre los modelos de autos que fueron atacados durante los testeos pero Faraday prefirió no dar detalles.
La exposición en el Arsenal despertó el interés de más de un asistente que quiso comprar la herramienta.
BUDA, la herramienta para engañar atacantes
También en el Arsenal, Federico Pacheco y Diego Staino, investigadores de la empresa argentina BASE4, presentaron una herramienta dentro del área de lo que se conoce como “Cyber deception”, o ciber engaños, que son trampas virtuales que los analistas dejan en las redes para engañar a los hackers que quieren entrar a un sistema y extraer información de ellos.
Las estrategias de engaño son comunes en el análisis de amenazas. Se trata de un área bastante explorada en la seguridad ofensiva. En la edición 2024 de Ekoparty, la investigadora local Sheila Berta mostró cómo se usaba un tipo de sistema específico llamado “honeypot” en sistemas públicos.
“El problema con las trampas tradicionales estilo honeypots es que los atacantes más sofisticados a veces pueden detectarlas porque se ven demasiado limpias o vacías, o bien carecen de actividad. BUDA es una herramienta que hace que estas trampas sean mucho más creíbles”, contó a este medio Pacheco. BUDA significa Behavioral User-driven Deceptive Activities Framework.
“Para esto, genera ‘perfiles de usuario’ ficticios, que toman como base el comportamiento normal de la propia red y los sistemas. Así, estos perfiles hacen cosas que un empleado normal haría, como entrar en un sistema, abrir documentos, enviar correos electrónicos o navegar por la web”, sigue el especialista.
Durante la charla en el Arsenal, los investigadores hicieron mucho énfasis en la importancia de que los engaños tengan una “narrativa” coherente para que los atacantes no se den cuenta de que se encuentran frente a un honeypot.
“La herramienta permite orquestar los perfiles para que actúen de forma autónoma, siguiendo patrones de comportamiento típicos. Al simular estos comportamientos, la trampa se vuelve mucho más realista, y los atacantes tienen más motivos para creer que están frente a un sistema con usuarios legítimos, lo que les hace perder más tiempo y les dificulta distinguir lo real de lo falso”, completó Diego Staino.
“Adicionalmente, dado que los usuarios ficticios pueden actuar sobre sistemas y activos reales o falsos, la herramienta permite que el comportamiento simulado se parezca al de un atacante o actor malicioso, permitiendo probar así las medidas defensivas de la red y los sistemas”, cierra el especialista.
El trabajo fue presentado esta semana en un “whitepaper”, ante un escrutinio académico, en las Jornadas Argentinas de Informática en Investigación Operativa.
La pata local en los “trainings”
Otra área importante de Black Hat son los entrenamientos, que empiezan varios días antes de las charlas y conferencias. No son abiertas a todo el público, sino que funcionan como clases intensivas para distintos especialistas y trabajadores de la industria.
Uno de ellos fue dictado por Sebastián García y Verónica Valeros, investigadores argentinos de la Universidad Técnica Checa de Praga (CTU), “un entrenamiento avanzado para aprender cómo detectar el tráfico de malware (virus) y diferenciarlo del legítimo en situaciones críticas”, explicaron.
“Fueron dos días muy prácticos e intensos con ataques reales. Muchos ejercicios fueron para aprender sobre malware oculto, botnets, spyware, cómo trabajar con grandes volúmenes de datos y cómo usar inteligencia artificial para mejorar la detección de amenazas”, agregaron.
Black Hat es una de las conferencias de ciberseguridad más influyentes del mundo. Fue fundada en 1997 por Jeff Moss, conocido en el mundo del hacking como “The Dark Tangent”, y si bien la principal es en Estados Unidos, también tiene ediciones en Asia y Europa.
Durante la apertura de la edición 2025, Moss disparó un mensaje político y Mikko Hypponen, histórico hacker finlandés, anunció su retiro de la industria del hacking. El segundo día, la experiodista del New York Times Nicole Perlroth llamó a pensar sobre los desafíos que está planteando la inteligencia artificial en el panorama de amenazas.
«Venimos de una luna de miel con la IA. Estamos alcanzando niveles de eficiencia increíbles. Y creo que en esta cuestión de si la IA favorecerá la defensa o el ataque, los primeros indicios sugieren que el ataque va a tener la ventaja. Pero aún podemos cambiar esto. Tenemos una ventana estrecha, pero se está cerrando muy rápido, y una vez que la IA se integre en nuestra infraestructura, en nuestra toma de decisiones y en nuestra defensa, el costo del fracaso sólo se multiplicará. La seguridad por diseño [secure by design] nunca ha sido tan urgente«, aseguró Perlroth.
La convención reúne a expertos de todo el mundo para discutir vulnerabilidades, amenazas globales, técnicas de defensa y hallazgos inéditos en materia de ciberseguridad. A diferencia de DEF CON, que se fundó en 1993 y mantiene un espíritu más informal, Black Hat apunta al mundo corporativo.
La conferencia funciona como una vidriera del mundo de la ciberseguridad, pero también como un laboratorio del panorama de amenazas actual.
SL