Realmente siento que nos estamos acercando al futuro estilo Cyberpunk: 2077, donde los hackers netrunner básicamente se convertirán en magos, capaces de hacer explotar casi cualquier cosa con unas pocas líneas de código malicioso. Vale, la realidad puede ser mucho más aburrida, pero considerando que pusieron DRM en los trenes hace un tiempo, cruzo los dedos por los ciberbrujos en las próximas décadas.
¿Lo último en esta lista de tecnología sorprendentemente pirateable? El Bosch Rexroth NXA015S-36V-B, también llamado atornillador, que es un tipo de llave dinamométrica que se empezó a utilizar hace casi 100 años y que comparte muchas letras con «netrunner». Vivimos en un mundo de hermosas coincidencias.
Tal y como se detalla en un informe de la firma de seguridad Nozomi. Un equipo de expertos en seguridad encontró la friolera de 25 vulnerabilidades diferentes en la llave, que se conecta de forma inalámbrica a la red interna del fabricante. Además, se ejecuta en Linux o, bueno, en NEXO-OS basado en Linux.
A diferencia de las tonterías superfluas y anticompetitivas aplicadas a esos trenes polacos, el software de llave siempre en línea del Nutrunner está ahí por una buena razón. Tener acceso a una aplicación permite a los ingenieros ajustar los niveles de torsión finales de las fijaciones en un grado granular, lo cual es importante para la seguridad de todos.
«A modo de ejemplo», se lee en el informe, «los pernos, tuercas y accesorios utilizados en los cuadros eléctricos deben apretarse adecuadamente para garantizar que las conexiones entre los componentes que transportan corriente, como las barras colectoras de alto voltaje, mantengan una resistencia baja. Una conexión floja daría como resultado temperaturas de funcionamiento más altas y, con el tiempo, podrían provocar un incendio».
Si bien la frase «hay una llave inglesa que se puede piratear» es muy divertida, los riesgos potenciales de seguridad aquí son graves hasta un grado desgarrador. Por supuesto, está el lado comercial: Nozomi cree que estas vulnerabilidades podrían usarse para ataques de ransomware.
Una posibilidad más inquietante es que estos puntos débiles «permitirían al actor de amenazas secuestrar programas de ajuste mientras manipula la pantalla integrada, causando daños indetectables al producto que se está ensamblando o haciéndolo inseguro de usar».
Es el peor de los casos y niveles de maldad de nivel de supervillano, pero el concepto de una serie de accidentes industriales causados de manera invisible que ocurren meses después del ataque es realmente un poco aterrador. Esta tampoco es solo una teoría que tienen: el equipo de seguridad lo logró por completo:
«Logramos alterar sigilosamente la configuración de los programas de apriete, por ejemplo aumentando o disminuyendo el valor de torque objetivo. Al mismo tiempo, al parchear en memoria la GUI en la pantalla integrada, pudimos mostrar un valor normal al operador. quienes permanecerían completamente ajenos al cambio.»
En una declaración por correo electrónico destacada por Ars Technica, Bosch Rexroth «inmediatamente siguió este consejo y está trabajando en un parche para resolver el problema», que, según dice, se lanzará a finales de enero de 2024. Ahora hay parches para llaves inglesas, ¿qué un tiempo para estar vivo.