Expertos HC

Cómo afecta a la ciberseguridad de tu coche todo lo que le conectas

Alarmas, conexión a internet... son algunas funciones extras que puedes tener en tu coche conectando ciertos dispositivos en alguna de sus tomas. ¿Afectan estos elementos a la ciberseguridad de tu vehículo?

Imagen de una persona al volante de un BMW del futuro

Si hay un campo en el que se ha avanzado enormemente en el sector del automóvil durante los últimos años este es, sin duda, en su apartado tecnológico. Y por tecnológico nos referimos a los sistemas que basándose en la información que proporcionan los sensores repartidos por todo el coche, se encargan de gobernar el vehículo, ofreciendo ayuda a la conducción y otras medidas de seguridad y entretenimiento. Pero, por si esto no fuera poco, existe la posibilidad de conectar otros sistemas externos que, aun estando pensados para ayudarnos, pueden poner en peligro la seguridad del automóvil.

Coches cada vez más complejos

Si pensamos en las piezas que componen un coche lo más seguro es que pensemos en la parte mecánica compuesta, entre otros por el motor, la dirección, los frenos y otros elementos. Pocos se paran a pensar en el cerebro que controla muchos de los aspectos del vehículo y que se conoce como ECU -Electronic Control Unit-. De hecho, la gran mayoría desconocerá que el software encargado de controlar los diversos aspectos de un automóvil es uno de los que más líneas de código contiene en la actualidad, sobrepasando los 100 millones de líneas fácilmente.

Sistemas informáticos con más líneas de código. Fuente: Informationisbeautiful.net

Todo este código se encarga de controlar muchos elementos con diferente nivel de riesgo, desde los que se encargan de gestionar el sistema de entretenimiento del automóvil hasta las ayudas a la conducción y el proceso de toda la información que llega desde los sensores colocados por todo el vehículo.

Hoy en día, solo hace falta pasearse por un concesionario para ver la importancia que este código tiene en los sistemas que incorporan los modelos que se venden. Además, no son pocos los fabricantes que comparten sistemas e incluso, lo más habitual es que la centralita la fabrique la misma empresa para decenas de marcas de vehículos.

Añadiendo elementos extraños

Obviamente, los fabricantes quieren que sus vehículos funcionen correctamente sin errores, tanto mecánicos como provocados por un fallo en alguno de sus sistemas. Es por eso que tratan de revisar que funcionan de forma correcta y son lanzados al mercado sin errores. Sin embargo hay un punto crítico que pocas veces se tiene en cuenta y es la posibilidad de conectar dispositivos externos al bus de comunicación del coche, permitiendo acceder e incluso modificar alguno de los sistemas críticos.

Esta conexión se suele realizar a través del puerto OBD, un puerto que conecta con el sistema de diagnosis que todos los vehículos incorporan desde hace décadas, aunque el estándar difiere de la región de donde sea el vehículo. La mayoría de nosotros habremos visto como, cuando llevamos nuestro vehículo a un taller para solucionar una avería, lo primero que suele hacer el mecánico es conectar un ordenador al vehículo a través de este puerto. Esto le proporciona información instantánea acerca del estado del vehículo y puede ayudar a resolver incidencias en muy poco tiempo.

El problema es que, desde hace unos años se han popularizado una serie de dispositivos que permiten a cualquiera conectarse a este sistema de diagnosis para ver la información que proporciona incluso en su teléfono móvil. Estos dispositivos son muy baratos (costando incluso menos de 5 euros) y permiten la conectividad mediante cable, WiFi o Bluetooth. Suelen ir asociados a aplicaciones móviles que permiten interpretar de forma fácil toda la información obtenida e, incluso en algunos casos, modificarla o eliminar alguna alerta.

No hace falta decir que, en manos inexpertas, estos dispositivos suponen cierto riesgo porque podrían hacer que el conductor interpretase erróneamente algún valor proporcionado por el sistema de diagnosis y bajase la guardia o incluso que llegase a modificar algún parámetro que no debiera, poniendo en riesgo la seguridad de su vehículo y la suya propia.

Alarmas y conexiones a Internet

Un buen ejemplo de estas conexiones realizadas por dispositivos externos al puerto OBD son los sistemas de alarma de terceros. Estos sistemas se conectan al bus de comunicaciones del vehículo y recopila información, pero además también permiten enviar órdenes para, por ejemplo, localizar el coche en tiempo real, abrir el vehículo, detener el motor o desactivar la alarma, entre otras opciones.

El problema llega cuando estas acciones también pueden ser realizadas por atacantes aprovechando vulnerabilidades presentes en el código de las aplicaciones móviles utilizadas para controlar estas alarmas. Esto permitiría, por ejemplo, modificar los parámetros establecidos por el usuario legítimo tales como el email y, a continuación, solicitar una restauración de la contraseña desde el email controlado por los atacantes.                               

También es importante destacar la propuesta realizada desde Telefónica hace unos meses para dotar de conexión a, prácticamente, cualquier modelo de vehículo gracias a su propuesta Movistar Car. Mediante un dispositivo que se conecta al puerto OBD, permite dotar a un vehículo de conexión WiFi, un sistema de alerta en caso de emergencia, la posibilidad de localizar el vehículo o programar alertas y mantenimiento, entre otras opciones.

Hasta el momento no se ha descubierto ninguna vulnerabilidad en este servicio que permita realizar acciones maliciosas, aunque teniendo en cuenta la empresa que hay detrás, asumimos que se han tomado el tema de la seguridad en serio.

Conclusión

La tecnología y la conectividad de los automóviles modernos permiten que estos sean más seguros y cómodos de conducir. Sin embargo, hemos de tener en cuenta de que estas nuevas opciones también pueden ser utilizadas en nuestra contra si no se adoptan las medidas de seguridad necesarias y que, en el caso de un ataque a un vehículo, las consecuencias pueden ser especialmente graves.

Josep Albors
Soy responsable de Investigación y Concienciación de ESET España. Tengo más de 14 años de experiencia en el mundo de la seguridad informática y estoy especializado en el análisis de malware. También edito el blog de ESET España y colaboro en el blog internacional de ESET en español, WeLiveSecurity, además de otras múltiples publicaciones relacionadas con la seguridad de la información. He sido ponente en algunas de las conferencias de seguridad más importantes de España, además de colaborar con iniciativas como X1RedMasSegura. También he impartido charlas de concienciación y educación en seguridad informática y privacidad en centros educativos de todo tipo. Además, soy profesor en cursos de experto en seguridad y derecho tecnológico y congresos sobre ciberseguridad organizados por varias universidades españolas, y he colaborado con la Guardia Civil, Policía Nacional y el Ejercito de Tierra en la formación de nuevos agentes en materias relacionadas con la seguridad informática, ciberinteligencia y la prevención de la ciberdelincuencia.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.