Ataques

Los 5 fallos de ciberseguridad en coches más importantes de los últimos años

Los problemas de ciberseguridad en los coches son conocidos desde hace años. ¿Cómo han evolucionado en este tiempo? Hacemos un repaso a los casos más importantes.

Ciberseguridad coches: una foto de una carretera con coches circulando sobre ella
Foto: Quintin Gellar en Pexels

Desde que en 2010 se detectase el primer caso, los ciberataques a vehículos no han dejado de sucederse -y aumentar-. Según datos de EUROCYBCAR a los que ha tenido acceso HackerCar, han sido más de 300 los casos registrados en estos 10 años.

En este artículo, encontrarás recopilados los más importantes o los que más llaman la atención.

Un ex empleado vengativo

Despedir a un empleado habilidoso con la informática puede tener riesgos para su antigua compañía. Muestra de ello es el lío en que metió Omar Ramos-López a la empresa que prescindió de sus servicios, un concesionario de coches de segunda mano de Austin -EE.UU.- en 2010.

A Ramos-López no le sentó muy bien que le entregaran su carta de despido. Así que decidió tomar represalias. Lo que hizo el ex trabajador fue, de forma remota, apagar los motores y hacer saltar las bocinas de más de 100 coches.

¿Cómo lo logró? Gracias a un programa informático llamado Webtech Plus, que operaba por el propio concesionario. El centro usa normalmente dicha tecnología para inmovilizar a distancia un coche en caso de que su dueño incumpla los plazos de pago. Pero el antiguo trabajador, muy habilidoso con los ordenadores según relatan sus antiguos compañeros, logró acceder al programa y fastidiar sin motivo a más de un centenar de clientes.

El crackeo que logró Ramos-López fue de los primeros ataques a vehículos de los que hay registros.

Sale a la luz el crackeo más habitual

¿Cuál es la forma de atacar un coche más habitual entre los ciberdelincuentes? Aprovechar las vulnerabilidades del sistema keyless.

Esta tecnología que permiten abrir y arrancar un vehículo sin tener que sacar la llave del bolsillo tiene un problema de ciberseguridad bastante popular hoy en día. Este fallo consiste en que, cuando depositas la llave en tu casa después de aparcar el coche, esta sigue emitiendo la señal de apertura, así que unos ladrones podrían amplificarla y robar el vehículo.

Actualmente, es una vulnerabilidad bastante conocida e incluso se han comercializado productos que la solucionan. Pero no se supo nada de ella hasta 2012, cuando unos investigadores descubrieron el problema. Su descubrimiento, por tanto, fue revolucionario en el sentido de que destapó la que hoy es la principal vía de entrada de los crackers en un coche -casi el 30% de los ciberataques a vehículos se producen por culpa del keyless-.

El hallazgo les supuso, además, un quebradero de cabeza a los investigadores, ya que uno de los fabricantes afectados -Volkswagen- peleó en los tribunales durante dos años para que el caso no se difundiera.

El caso más famoso

Es, posiblemente, la vulnerabilidad más conocida hallada nunca jamás en un automóvil: en 2015, dos hackers –Charlie Miller y Chris Valasek- invitaron a un periodista a subirse a un Jeep Cherokee para que se diera una vuelta en él. Mientras la pobre víctima circulaba confiada por la autopista, la pareja de expertos en ciberseguridad se quedaron en la casa de Miller. Desde allí, comenzaron a tomar el control de diversos sistemas del coche.

De esta forma, el periodista descubrió asombrado cómo se accionaban el aire acondicionado, los limpiaparabrisas y el equipo de audio sin que él los activase. También los frenos y la transmisión. ¡Incluso apagaron el motor!

no les fue difícil a Miller y a Valasek dar el susto de su vida al periodista. Les bastó tener a mano un ordenador, un programa informático diseñado por ellos mismos, saber la IP del coche y disponer de conexión Wifi.

Tanta importancia tuvo este caso que FCA, empresa a la que pertenece Jeep, llamó a revisar a ese modelo y a otros de diversas marcas del grupo para solucionar el fallo. Un total de 1,4 millones de vehículos tuvieron que pasar por el taller.

Sé lo que haces… en cualquier parte del mundo

Se está volviendo habitual que las aplicaciones de las marcas permitan al usuario manejar ciertos parámetros de sus vehículos desde el móvil.

Pero Troy Hunt, un investigador de ciberseguridad, descubrió en 2016 que, en el caso del Nissan Leaf, ese poder no quedaba limitado solo al dueño. Hunt demostró que basta con saber el número de identificación del vehículo -accesible para cualquiera a través del parabrisas- y tener algunos conocimientos básicos de desarrollo web para controlar la climatización y saber los trayectos realizados por cualquier Nissan Leaf que utilizase la aplicación NissanConnect EV.

El investigador, como conocía a una persona en otro país que también poseía un Leaf, repitió el experimento con el coche de su amigo… y funcionó. Con lo cual, la distancia no es problema y aquel que tuviera acceso al número de identificación de un Nissan Leaf podría vulnerarlo después desde cualquier parte del mundo.

Un piloto automático… con sorpresa

El Autopilot de Tesla es uno de los sistemas de conducción semiautónoma más famosos del mundo del automóvil. Pero no es perfecto… y no solo porque tengas que llevar las manos en el volante.

El año pasado, unos investigadores de Regulus, quisieron comprobar si podían atacar al receptor GPS de un Tesla Model 3 y explotar sus vulnerabilidades. Y vaya si lo consiguieron.

Durante el experimento, los especialistas colocaron una antena de suplantación de identidad en el techo del coche. Esto se hizo para simular un ataque externo y ver si el vehículo era capaz de aislarse contra la falsificación. Los investigadores afirman que “este es el caso típico en el que un atacante externo intentaría influir en el automóvil”. Esto también se hizo para evitar que la falsificación afecte a los automóviles cercanos u otros receptores GPS, ya que se llevó a cabo en una carretera con tráfico real.

Se puso el Tesla Model 3 a circular en una autovía con el piloto automático activo y fijado a 95km/h. También se estableció una salida por la que el vehículo tendría que abandonar la carretera. Entonces, los investigadores -situados fuera del coche- transmitieron coordenadas satelitales falsas que fueron recogidas por los receptores del coche, que interpretaron que el vehículo tenía que salir de la carretera 2,5 kilómetros antes de lo planificado por el conductor del Model 3.

¿Qué sucedió a continuación? Pues que el coche bajó su velocidad hasta los 24 km/h para poder tomar el desvío con seguridad, activó el intermitente y giró a la derecha, hacia la salida. Durante el giro repentino, el conductor estaba con las manos en su regazo, ya que no estaba preparado para que todo ocurriera tan rápido. Por eso, cuando tomó el volante y recuperó el control manual, era demasiado tarde para intentar maniobrar de regreso a la autopista de forma segura. Todo ello, en menos de un minuto.

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.