Una bicicleta no es tan segura como se cree: puede ser hackeada y poner en riesgo la vida

A mediados de agosto de 2024, un equipo de investigadores de la Universidad del Nordeste (Boston) y la Universidad de California (San Diego), ha puesto en alerta tanto a expertos en tecnología como a usuarios de dispositivos conectados. Los investigadores identificaron una vulnerabilidad crítica en bicicletas equipadas con tecnología de cambio de marchas Shimano Di2.

Esto ha generado una serie de preguntas sobre la seguridad de los dispositivos inteligentes que, hasta ahora, parecían inofensivos y fuera del radar de los ciberdelincuentes.

El hallazgo se centró en dos modelos específicos de Shimano: el Shimano 105 Di2 y el Shimano DURA-ACE Di2. Ambos utilizan Bluetooth Low Energy (BLE) para comunicarse con la aplicación móvil de Shimano y el protocolo ANT+ para interactuar con los ordenadores de las bicicletas.

Lo que realmente llamó la atención de los investigadores fue la comunicación interna entre las palancas de cambio y los desviadores, que opera mediante un protocolo propietario de Shimano en la frecuencia de 2,478 GHz.

Este canal de comunicación resultó ser vulnerable, y fue precisamente allí donde los investigadores detectaron una brecha que podría ser explotada por ciberdelincuentes.

El estudio reveló que la comunicación entre la palanca de cambio y el desviador es sencilla. En esencia, la palanca envía una señal al desviador para cambiar de marcha, y el desviador, a su vez, confirma la recepción de dicha señal. Si el mensaje no es recibido correctamente, la orden se reenvía.

Este protocolo básico fue suficiente para que los atacantes pudieran interceptar y manipular las señales, alterando el funcionamiento normal de la bicicleta.

Con el uso de hardware especializado, los investigadores demostraron cómo un atacante podría emitir órdenes falsas, provocando cambios inesperados de marcha en momentos inoportunos. Esta intervención no solo podría incomodar al ciclista, sino que en situaciones extremas, podría poner en riesgo su seguridad.

Este descubrimiento ha revolucionado la percepción de lo que constituye un objetivo para los ciberataques. Hasta ahora, el enfoque de la mayoría de los expertos en ciberseguridad estaba centrado en dispositivos que almacenan información personal o financiera, como ordenadores, teléfonos y, más recientemente, autos conectados.

Sin embargo, la revelación de que hasta las bicicletas pueden ser vulnerables a este tipo de ataques marca un punto de inflexión en la lucha contra la ciberdelincuencia.

A medida que más dispositivos se conectan a internet y adoptan tecnologías “inteligentes”, la superficie de ataque para los ciberdelincuentes se expande exponencialmente.

Este caso de vulnerabilidad en bicicletas no es un incidente aislado, sino que se enmarca dentro de una tendencia más amplia en la que los ciberdelincuentes buscan nuevos objetivos.

En los últimos años, se ha visto cómo sistemas que van desde monitores para bebés hasta vehículos han sido hackeados. En este contexto, el descubrimiento de una vulnerabilidad en las bicicletas inteligentes es un recordatorio de que cualquier dispositivo conectado a una red está expuesto a riesgos de seguridad.

A medida que se avanza hacia un mundo cada vez más interconectado, el llamado Internet de las Cosas (IoT) sigue creciendo, y con él, también crecen las amenazas.

La revelación de este ciberataque en bicicletas equipadas con tecnología Shimano Di2 debe ser un llamado de atención para fabricantes. Estos tienen la responsabilidad de garantizar que sus productos están diseñados con medidas de seguridad robustas desde el principio.

La industria tecnológica, en particular, debe adoptar un enfoque proactivo en la identificación y resolución de vulnerabilidades, antes de que los atacantes las exploten.

Esto implica no solo la implementación de tecnologías más seguras, sino también la colaboración con expertos en ciberseguridad y universidades, como en este caso, para realizar pruebas exhaustivas y auditar sus sistemas en busca de posibles debilidades.