El futuro del internet de las cosas tiene en el automóvil una de sus piezas clave, pues ningún otro objeto goza de su alcance ni potencial aspiracional, pero los riesgos de hackeo son altos.
Si queremos un futuro de coches autónomos, que sean capaces de llevarnos de un lugar a otro sin intervención humana en su conducción, por la ruta más corta y descongestionada, de la manera más eficiente y segura y que vayan directamente a la plaza de parking libre más cercana a nuestro destino, debemos abrazar el coche conectado. Esta conectividad total de los vehículos abre sin embargo la puerta a amenazas que ya existían en el mundo informático y de los smartphones pero que aquí adquieren una nueva dimensión. Los riesgos que pueden sufrir los usuarios van desde robos de contraseñas, apertura de puertas, acceso a servicios remotos, localización del coche o incluso control físico del mismo, el que más preocupa por su posible implicación en accidentes y que ya ha ocurrido en la realidad con el caso de Tesla o de Jeep.
Kaspersky Lab ha realizado el Primer Estudio de Coches Conectados junto conIAB Spain, la Asociación que representa al sector de la publicidad, el marketing y la comunicación digital en España, un trabajo de investigación pionero en el mundo y que además ha llevado a cabo una simulación real con el sistema de conectividad de BMW. El principal objetivo de este estudio ha sido ofrecer una perspectiva de la situación del coche conectado en España, aunando toda la información disponible en el mercado. Precisamente la información referida a los parámetros de conducción es otro de los puntos vulnerables del coche conectado, ya que esta puede ser vendida para bases de datos especializadas, algo que NextAuto ya vaticinó como modelo de negocio a futuro.
En un vehículo conectado, no se pueden obviar cuestiones relacionadas con la seguridad en las comunicaciones y servicios derivados de Internet y que se incluyen en la nueva generación de coches conectados. No hablamos aquí de asistencia al aparcamiento, sino de acceso a redes sociales, correo electrónico, conectividad con el ´smartphone´, cálculo de rutas, aplicaciones que se ejecutan en el coche, etc. La inclusión de estas tecnologías implica una serie de ventajas, pero también de nuevos riesgos a los que el usuario no tenía que hacer frente hasta ahora. Por ese motivo, es necesario analizar los distintos vectores que pueden provocar un posible ataque o fraude e incluso algún incidente en el funcionamiento del vehículo.
Según el analista de malware de Kaspersky Lab, Vicente Díaz, los roces entre la industria automovilística y su entrada en lo digital es inevitable y complicado: “Los coches llevan ya un siglo en marcha y se están integrando con una tecnología mucho más reciente. El sistema de un coche funciona con decenas de ordenadores que controlan sus diversos componentes. Cuando un sistema, pongamos el control de tracción de las ruedas, recibe una orden para actuar, no hay protocolo de seguridad para comprobar que efectivamente la orden la ha dado el ordenador del coche. Si un tercer sistema se pone de intermediario, puede hackear estas computadoras”.
Sáez enumera tres niveles de intensidad en los ataques informáticos a un coche. El primero sería el hackeo de su sistema electrónico de apertura, permitiendo desvalijarlo. El segundo, el robo de las credenciales que identifican al usuario en el ordenador del coche que pudiera permitir a los criminales instalar algún tipo de programa. El tercero, el control directo del coche o de alguno de sus sistemas para provocar un accidente. Sáez considera que el riesgo de este tercer nivel es “circunstancial” para un usuario corriente. Sin embargo, no descarta un tipo de ataque habitual en los PC del que aún no se tiene constancia para coches, el ramsonware: “Podrían bloquearte el coche y exigirte que pagues un rescate por devolvértelo”.
Un simulacro real
La prueba de concepto realizada por Kaspersky Lab, basada en el análisis del sistemaBMW ConnectedDrive en concreto, ha encontrado distintos vectores de ataque potenciales, tales como robo de credenciales, aplicación móvil, actualizaciones, comunicaciones y actualizaciones, entre otros. El robo de credenciales de usuario para acceso al portal de BMW, ya sea mediante phishing, keyloggers o ingeniería social, permitiría a un tercero acceder a información del usuario y del vehículo. A partir de aquí se podría instalar la aplicación para móvil con estas mismas credenciales que, en caso de tener activados los servicios remotos, podría permitir activar la apertura de puertas por ejemplo.
En caso de tener los servicios de apertura remota activados el móvil se convierte en las llaves. Si la aplicación no está bien securizada, podría ser un vector de ataque en caso de robo del teléfono. En este caso, parece que es posible modificar la base de datos de la aplicación para evitar la autenticación PIN, por lo que un atacante podría evitarla y activar los servicios remotos.
El proceso de actualización de los drivers bluetooth es a partir de la descarga de un archivo desde la web de BMW que posteriormente instalaremos en el coche mediante un USB. Este archivo no está cifrado ni firmado, y es posible encontrar dentro del mismo mucha información interna del sistema que se ejecuta en el vehículo. Esto daría a un atacante potencial con acceso físico la posibilidad de conocer el entorno atacado. También parece que podría modificarse la actualización para ejecutar código malicioso.
Algunas funciones se comunican con la SIM interna del vehículo mediante mensajes SMS. Estos mensajes se pueden llegar a descifrar y enviar haciéndose pasar por otro remitente, en función del cifrado de la operadora. En el peor de los casos se podría reemplazar a BMW para la comunicación de ciertos servicios.Los coches conectados pueden no ser seguros para los usuarios. El estudio también incluye un análisis de la conectividad online y las apps de los principales fabricantes de automóviles en España. Asimismo, se desglosa el modelo de negocio y las futuras tendencias en cuanto a plataformas de conectividad en el mercado.
Las principales conclusiones, tras analizar 21 modelos de vehículos de 15 marcas distintas, son que hay una alta fragmentación de sistemas operativos, modos de conexión y ´apps´, que muchos fabricantes ofrecen una suscripción gratuita durante un tiempo determinado y que muchos de los servicios ´online´ necesitan de cobertura 3G para funcionar con normalidad. También han concluido que el consumo de datos puede obligar al usuario a contratar una tarifa adicional y que la mayoría de los modelos usan asistentes vocales, dado que es uno de los modos más seguros de controlar la oferta de conectividad que ofrecen los fabricantes. La implantación del online por parte de los fabricantes es masiva, pero los protocolos de seguridad van muy por detrás de lo que deberían, y la mayoría de problemas a los que se enfrentan son inéditos, con lo que el usuario se encuentra en estos momentos muy desprotegido.
Fuente:https://www.elsemanaldigital.com/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
