Ataques

La pieza que se convirtió en un peligro en vez de proteger

Imagínate instalar un inmovilizador en tu coche... para que tú tampoco lo puedas arrancar. Un fallo de seguridad en los dispositivos SmarTrack hacía posible este boicot, hasta que un hacker descubrió el peligro.

Toyota robo

Los inmovilizadores electrónicos son una de las herramientas más habituales para proteger nuestro coche de los ladrones. Hoy en día, estos dispositivos no sólo previenen el robo. El usuario también puede conectarlos para localizar su vehículo sustraido, y evitar que cualquier amigo de lo ajeno pueda volver a arrancar el motor.

La preocupación comenzó cuando Ken Munro, un hacker de la firma de investigación Pen Test Partners, contó que podría bloquear 25.000 vehículos si quisiera, impidiendo que sus legítimos dueños los arrancaran. Munro se lo anunció a la revista Forbes durante la convención DEFCON de Las Vegas, celebrada este mes de agosto. Había descubierto este grave agujero de seguridad en los inmovilizadores SmarTrack, de la empresa británica Global Telemetrics.

Gracias a esta falla, bastaría con que el hacker enviara una petición de acceso a través de un navegador web. Acto seguido, Munro tenía las mismas opciones de manipular el inmovilizador que cualquier empleado del servicio telefónico de SmarTrack. Simplemente, el sistema no estaba comprobando que las órdenes llegaran de usuarios autorizados. Y, una vez que el hacker malicioso controlara el inmovilizador, la única forma de volver a arrancar el coche sería desinstalar por completo el dispositivo.

Aún más peligroso de lo que parece

Para hacer la demostración, los expertos de Pen Test Partners decidieron inmovilizar el coche de un compañero. Esta persona se encontraba asistiendo a una boda en Grecia, situación que tampoco fue obstáculo para bloquear toda posibilidad de arranque de su vehículo. El peligro es aún más inquietante si el coche atacado posee un mecanismo de arranque y parada Start/Stop. Si el hacker bloqueara el inmovilizador con el vehículo en marcha, el conductor no podría volver a arrancarlo después de que el citado sistema apagara el motor. Por lo tanto, con un sistema de arranque y parada, en pleno tráfico, las consecuencias serían muy graves.

Curiosamente, el inmovilizador SmarTrack posee una certificación de Tatcham Research. Este organismo, fundador por las aseguradoras británicas, evalúa la seguridad de las tecnologías para vehículos en el Reino Unido.

En cualquier caso, Global Telemetrics ya ha anunciado que ha subsanado el agujero de seguridad. Para asegurarse de tener todo bajo control, la empresa se hizo con los servicios de la firma Hedgehog Security. Esta compañía confirmó el problema detectado por Pen Test Partners. El fundador de Hedgehog Security, Peter Bassill, ha sido sincero sobre las opciones reales de bloquear el arranque de 25.000 coches: “Es una de esas afirmaciones que los investigadores hacen… pero desde luego había capacidad para que eso pudiera haber ocurrido… Seguro que habría exigido más de una línea de código, pero por poder, se podría haber hecho”. Afortunadamente, Hedgehog Security no sólo ha ayudado a corregir este agujero; también ha contribuido a implementar procesos para que SmarTrack resuelva rápidamente estos fallos en el futuro.

Tras estos esfuerzos, Global Telemetrics ha asegurado a los usuarios de SmarTrack que en ningún momento han estado expuestos sus claves o datos personales.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.