Expertos HC

Si en el puente de mayo conectas el móvil al puerto USB de tu coche, primero lee esto

Varios coches ya han sido crackeados a través del puerto USB ¿Qué pasa con esta entrada? ¿Es peligroso que conectes un pen drive en tu vehículo?

Tablet y coche

Ma Belle. Así es como la llamo cada vez que la veo. Mi bella. Mis amigos de la infancia encontrarán graciosa la coincidencia. Para los que no lo sepan, la palabra ‘coche’ en francés curiosamente es femenina, voiture.

Ma Belle es mi BMW Serie 5 Gran Turismo F07, matrícula francesa del departamento 45, la cual -el coche- me costó mucho sudor y mucho esfuerzo conseguir y que ahora es mi compañera de viaje a diario desde hace ya un par de años. Confort absoluto para hacer kilómetros y más kilómetros. 245 CV, modelo luxe con todas las comodidades, un maletero enorme si avanzas los asientos traseros y, además, mucha goma detrás 275/45 R19 para agarrarse a la carretera y para empujar, ¡cómo una bestia!

Ahora bien, con este coche me enfrenté en su día a un reto importante. Tenía localizado el puerto USB dentro de la guantera-apoyabrazos y también sabía que el coche tenía un disco duro interno para almacenar la música en mp3. Así que yo, sí o sí, tenía que poder copiar mi música al coche, pero… no tuve narices a conseguirlo. De hecho, me costó varias semanas haciendo pruebas, a ratitos por las tardes, y tras mucho googlear, investigando la consola BMW, apartado multimedia, mi memoria usb conectada… ¡y nada! No había manera. Y es que, los muy cucos de BMW nunca me dijeron -y tardé tiempo en descubrirlo- que existía un segundo puerto escondido en la guantera.

Si no recuerdo mal, era un puerto USB 1.1 que solo aceptaba mi vieja llave USB de 512Mb y que estaba directamente ligado al programa multimedia de BMW. La música solo se puede copiar al disco duro por él y sólo cuando el coche está en marcha. Tardé una semana, durante los trayectos de 25 km de casa al trabajo y del trabajo a casa, en copiar toda mi música en el disco duro, a trocitos de 512 Mb. Surrealista. Al principio me lo tomé como un -increíble- fallo de diseño del coche. Más aún, conociendo la tecnología con la que cuentan estos alemanes. “Menuda cutrada”, pensé. Pero luego, fríamente, me dije: “!Pedazo de manera para proteger la integridad del disco duro del coche¡”.

Hoy en día, desde la oficina de mi trabajo, tengo visión directa de la cadena de montaje por la que pasan más de doscientos motores a diario. A fuerza, y con el paso de los años, algo se aprende… aunque mi verdadera pasión, más que el mundo del motor, es la ciberprotección. Por eso, permíteme que te invite a imaginar y a reflexionar, a lo largo de las siguientes líneas, sobre todo lo que puede dar de si el puerto usb de tu coche y a lo que te expones a diario.

Coches hackeables a través del puerto USB

Hace un tiempo corrieron como la espuma por Internet varios casos sobre modelos de Mazda o Subaru que eran hackeables a través del puerto USB. Desde la adolescencia siempre me he considerado un poco ‘hacker de laboratorio’, pero lo mío es la ciberprevención. Así que, podéis llamarme friki, pero los puertos USB de mi coche ¡están tapados! Y lo están con un tapón especial para puertos USB -puedes encontrarlo fácilmente en Internet- que requieren de una llave para abrirlos.

Párate a pensarlo un momento. ¿Qué conectas al puerto USB de tu coche? Yo, personalmente, conecto dos cosas. La primera, mi móvil. Como millones de personas en el mundo, aprovecho los 5 voltios que da el puerto USB para cargarlo, muy lentamente. Ahora bien, quizás sea complicado hackear un coche a través de un puerto USB, pero, ¿por qué no utilizar el puerto USB para hackearte el móvil? Acceder a tu coche y ‘trucar’ el puerto USB con una Raspberry escondida y alimentada por tu propio puerto USB puede parecer un poco fantástico, pero para nada imposible. En mi día a día tengo clarísimo que, cualquier cosa que consideres segura, si tiene un acceso, con tiempo y paciencia, antes o después, se puede piratear.

La cosa se complica si tenemos en cuenta que desde el móvil accedemos ya a toda serie de servicios: como el email, la banca online, nuestras fotos… y sus correspondientes contraseñas, lo que permitiría a un ciberdelincuente suplantar tu identidad o acceder a tu dinero. ¡Y qué decir si ese puerto es el de un coche de alquiler! Imagina que un malo alquila el vehículo durante un par de días. Tiene 48 horas, con sus mañanas, sus tardes y sus noches para modificar el puerto USB a sus anchas. ¿Qué pasará con aquellos que alquilen el coche después y, sistemáticamente y por instinto de supervivencia, conecten su móvil?

Mi procedimiento de prevención obligatorio

La segunda cosa que conecto, de vez en cuando, al puerto USB es la memoria USB de mi coche. Y cuando digo la memoria, es la ÚNICA llave USB que utilizo en mi coche. De mi coche, a mi ordenador seguro, de mi ordenador seguro, a mi coche. ¿Paranoico? Para nada. Yo lo llamaría procedimiento de prevención obligatorio para todo aquel que quiera salir del rebaño y dejar de ser vulnerable, como vulnerables son la gran mayoría de los seres humanos.

Pongamos un ejemplo práctico: ¿te han pasado alguna vez música a través de un pendrive USB? El amigo de tu primo que te ha grabado el último disco que ha sacado ese artista que te gusta… De manera muy fácil y explícita, el camino recorrido por la llave USB que te han prestado sería el siguiente:

Ordenador con cacota copia música en llave USB > Cacota pasa a llave USB > La llave USB se la van pasando entre los amigotes > CACOTA por todos lados, en todos los ordenadores del grupo de amigos y en continua expansión

Empieza a pensar un poco más en ti mismo y cuando te presten una memoria USB piensa en ¡NO, CACA! Ten claro que una llave USB que se conecta a tu coche, antes o después, se va a conectar a tu ordenador. Así, solo queda buscar la forma de cargar un programita malicioso en tu memoria USB y esperar. Quizás acceder a tu coche no sea tan fácil, ¿o sí? Pero, ¿qué me dices si el programita se carga desde el puerto USB del coche que hemos alquilado antes? ¿cuántas personas conectarán algún día sus llaves USB en ese coche para escuchar música mientras conducen?

Cualquier ciudadano de a pie podrá pensar que lo que estoy contando es surrealista, que aquí no pasa esto, que esto es para las películas, pero aquellos que nos movemos en este mundo sabemos que, aquel que tiene algo de valor o algo que esconder, que lo esconda y que se proteja bien porque con paciencia y buena letra, nada es infranqueable.

Me despido no sin decir que gracias a mi trabajo he podido vivir de primera mano varias brechas de seguridad informáticas importantes y puedo asegurar que ningún ataque malicioso venía del exterior. Una simple memoria USB de un proveedor o de un amigo puede liártela muy parda. Y lo peor, sin que tú te enteres de nada.

Hasta aquí la que espero que sea la primera publicación de muchas con mis amigos de HackerCar.

Ya sabéis lo que dijo Voltaire así que… un placer y ¡au revoire!

Demonito
Tal y como se definen en su propia web, el corazón de 'deMonito' son tres valientes que van a cambiar las reglas del juego de la ciberseguridad enseñando a grandes y pequeños cómo proteger sus vidas privadas en Internet. Ellos han decidido "crear nuestro propio rebaño en Internet bien protegido fuera del alcance de los lobos que dirigen esta sociedad! ¿Su misión? Llegar, acompañar y quedarse en el día a día de aquellas personas que deseen empezar a proteger o mejorar la protección de su vida privada y la de los suyos. Ingeniero a base de tortas -sin título-, trabajo como jefe de proyectos y analista de infraestructuras senior experto para una firma de maquinaria norte-americana. Al frente de deMonito... estoy yo: Daniel Aranda. Me llamo a mí mismo informático bombero-generalista, experimentado en urgencias y emergencias en infraestructuras en entornos de fabricación. Mi trabajo muchas veces empieza cuando nadie sabe que más hacer. Practico la doctrina de la planificación, la organización y la gestión de equipos de respuesta frente a incidentes informáticos. Vivo pegado a un ordenador y la palabra multitasking se me queda chica. Personalmente, podría encuadrarme dentro de alguna de las acepciones de la palabra hacker, pero prefiero definirme como conocedor en infraestructuras informáticas y obseso en prevención cibernética personal o lo que es lo mismo, ciber-guardaespaldas.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.