Cerrar panel

Cerrar panel

Cerrar panel

Cerrar panel

Seguridad 23 sep 2014

Los coches conectados tienen al menos cuatro vías de hackeo

El acceso no autorizado a los sistemas del coche permite localizarlo, abrir sus puertas e incluso cambiar las credenciales del propietario.

Convertir los coches en otro eslabón entre los dispositivos conectados al internet de las cosas abre el camino a nuevas funcionalidades: conducción automática, búsquedas online de rutas y restaurantes, control remoto de las funciones del coche, alertas por accidente o robo, y un largo etcétera. Pero también traslada a los vehículos las amenazas informáticas que ya existen en ordenadores y smartphones. Uno de los modelos de coche conectado más completo y actualizado del mercado español es el BMW ConnectedDrive, que sin embargo, ha demostrado tener hasta cuatro maneras de ser hackeado que permitirían al hacker localizar el vehículo y hasta abrir sus puertas de forma remota.

Estas vías de ataque han sido identificadas en un estudio realizado por IAB España en colaboración con Applicantes, Periodismo del Motor y la compañía de seguridad Kaspersky Lab. El trabajo ha analizado los 21 modelos de coche conectado que ofrece el mercado español.

Las cuatro vías más plausibles para entrar en la red interna del vehículo son, según el informe: el robo de las credenciales del portal web de BMW, las aplicaciones para el smartphone que controlan funciones del coche, el proceso de actualización de estas mismas apps y el mecanismo de comunicación del vehículo con los sistemas remotos, que se realiza a través de la tarjeta SIM integrada en el coche.

Durante la conferencia Syscan 360 de seguridad informática celebrada en Pekín (China), un equipo de la Universidad de Zhejiang (China) accedió al control total de un Tesla modelo S, incluyendo las cerraduras de las puertas, bocina, luces y ventanas, todo con el coche en movimiento. Fue la propia compañía quien había retado a los participantes a hackear su nuevo modelo. Como premio, Tesla pagó 7.500 euros al equipo, que se ha ofrecido para ayudar a la compañía a mejorar sus sistemas de seguridad.

El principal problema que propicia estas vulnerabilidades es que el sistema interno de comunicación de los vehículos, que conecta el ordenador de a bordo con todos los sensores, frenos, airbags y demás dispositivos del coche; no está diseñado para ser seguro, sino para reaccionar rápido y evitar posibles accidentes. “Esta red de comunicación interna, llamada CAN procesa la información y toma decisiones en la mayor brevedad posible”, explica el investigador en informática de la Universidad Carlos III de Madrid y profesor en el Computer Security Lab de la misma Universidad, José María de Fuentes.

Antes de la aparición de los nuevos servicios de control remoto a través de internet, esta red solo podía ser atacada desde dentro del vehículo, y por lo tanto, “no está pensada para verificar quién envía la información, tan sólo si ésta es coherente”, explica Fuentes. Esto permite que ahora, agentes extraños puedan mandar órdenes al ordenador de a bordo (que supervisa el funcionamiento de buena parte del coche), y por lo tanto, tomar el control del vehículo desde dispositivos externos, ya sea a través de la página web de la marca o de las aplicaciones del smartphone, gracias a vulnerabilidades en el software “que hasta ahora no estaban expuestas a los atacantes”, añade. “Encontrar fallos para atacar uno de estos sistemas no es nada difícil”, apunta el experto en ciberseguridad del grupo S2, Raúl Rodríguez.

Una plataforma más segura

El mercado de los coches conectados se multiplicará por siete en los próximos cinco años, según la Asociación Española de Fabricantes de Automóviles y Camiones. En este contexto, Rodríguez insta a las compañías a “intentar adaptarse lo más rápido posible a la creciente aparición de riesgos”, pues “comprometen la seguridad de las personas”.

La Unión Europea ya está tomando medidas en este sentido y ha puesto en marcha una Directiva dentro del área de los Sistemas Inteligentes de Transportes que incluye diversos proyectos de investigación en colaboración con empresas como la propia BMW o Audi. Entre estos proyectos se encuentra OVERSEE, cuyo objetivo es “construir una plataforma segura de computación a bordo del vehículo, que incluya los mecanismos necesarios para garantizar que las señales que entran en el coche sean de confianza”, explica de Fuentes, quien además participa en el proyecto europeo. De esta manera, se añadiría un sistema extra de verificación para que no se pudiesen enviar órdenes maliciosas a la red interna del vehículo.

Los proyectos de la UE también exploran las formas de proteger no sólo las comunicaciones del coche con internet, sino también las posibles interacciones del vehículo con una red VANET, conformada por elementos como semáforos o las propias carreteras de una smart city.

Rodríguez recuerda que el aumento de la vulnerabilidad en los vehículos está apareciendo también en el sector industrial con la integración del internet de las cosas. “Una planta hidroeléctrica hackeable puede tener un impacto desastroso en la sociedad, por lo tanto se considera un sistema con riesgos críticos”, explica. Por lo tanto su sistema de gestión de la seguridad deberá ser proporcional a la magnitud de los peligros que conlleva. De la misma forma, los coches deberían considerarse “sistemas críticos” y reforzar su seguridad a la misma escala.

Aunque “nunca puede haber un sistema 100% seguro antiataques, porque siempre se podrá encontrar una puerta de atrás, igual que ocurre con los PCs o los teléfonos móviles”, según Rodríguez, un factor importante es revisar el ciclo de vida de los sistemas de seguridad, que, dada la velocidad a la que los hackers encuentran fisuras, es corta, y debe actualizarse constantemente.

Además de las vulnerabilidades de los sistemas, el informe señala la imperante fragmentación del mercado, en el que todavía no se aprecia un modelo de negocio sólido, ni un interés por acercarse a los mismos estándares de conectividad. El panorama de asemeja a los inicios del ascenso de smartphones, cuando cada marca luchaba de manera independiente por hacerse con todo el mercado de apps. Por ejemplo, de los 21 modelos de vehículos estudiados en el mercado español, 11 tienen su propio mercado de aplicaciones incompatible con los de Apple y Android.

Otros estudios en EEUU confirman los resultados españoles. El ingeniero de seguridad de Twitter, Charlie Miller y el director de investigación en seguridad de vehículos de la compañía de seguridad IOActive, Chris Valasek, hicieron público recientemente un análisis de hasta 20 vehículos distintos en el mercado norteamericano. Llegaron a la conclusión de que la mayoría de los sistemas de control por internet “no han sido diseñados teniendo en cuenta la seguridad, y podrían verse comprometidos de forma remota”.

Otras historias interesantes