Consejos HC

Movistar Car: ¿Qué riesgos ven los hackers y qué dice Movistar?

Por 3€ al mes, podrás disfrutar de WiFi en el coche, llamada automática de emergencia, ubicación del coche... ¿Cómo funciona este servicio? ¿Qué podría hacer un cracker si lo manipula? ¿A qué te expones?

Imagen de una persona controlando el coche desde el móvil

Ya está a la venta Movistar Car, el último producto de Movistar, que promete, por 3€ al mes, generar en el coche una red wifi 4G para evitar que los pasajeros gasten datos de su tarifa de móvil al viajar.

Pero este servicio no sólo ofrece Internet en el coche. También puede llamar automáticamente a emergencias en caso de accidente, enviar avisos de posibles averías o recordar al conductor futuras revisiones, incluso cuándo debe pasar la ITV. Además, permite al conductor y a los ocupantes estar informados de la ubicación del vehículo en tiempo real y acceder a ofertas exclusivas en combustible, talleres o seguros.

Respecto al precio, aparte de los 3€ al mes –IVA incluido- hay que abonar una cuota de alta de alta de 20€. Sin embargo, como promoción de lanzamiento, Movistar ofrece 3 meses sin pagar y la eliminación de la cuota de alta para aquellos clientes que contraten Movistar Car hasta el 31 de diciembre. Se puede adquirir a través de la web de la empresa.

¿Cómo funciona Movistar Car?

Este servicio se compone de un dispositivo físico, que se debe conectar en el coche -actuando a modo de hotspot-, y una aplicación, la cual hay que descargar en uno de los móviles conectados.

El dispositivo físico que va conectado al vehículo genera una red wifi de cuarta generación -4G- en el habitáculo mediante una tarjeta SIM incorporada, que da acceso a un máximo de 3 GB de datos al mes para navegar. Todo ello está incluido en el precio de tarifa. A dicha red es posible conectar hasta un máximo de 5 dispositivos móviles a la vez, ya sean ordenadores, tablets o smartphones.

¿Con qué coches es compatible?

El aparato que proporciona la red de internet se conecta en el coche a través de la salida OBD-II. Esta salida es una toma que suele estar oculta a la vista -normalmente por la parte inferior del salpicadero-, pero la aplicación de Movistar Car te indica su localización exacta al introducir la marca y el modelo de tu coche en la propia aplicación.

Es posible que tu coche, si es de gasolina y fue fabricado antes del 2004 o diésel anterior al 2005, no pueda utilizar Movistar Car.

Sin embargo, que la conexión del dispositivo sea a través de la salida OBD-II del coche limita el número de modelos en el mercado que podrán utilizar Movistar Car. Y es que este conector no lo llevan todos los vehículos, aunque sí una amplia mayoría. Las normas europeas hicieron obligatoria su implantación en 2004 para los vehículos gasolina y para los diésel a partir de 2005. Los fabricados antes de esas fechas no tenían la obligación de disponer de la salida OBD-II, por lo que es posible que en ellos no se pueda utilizar Movistar Car.

¿Tiene riesgos Movistar Car?

Los expertos en ciberseguridad de HackerCar han analizado la información que ha hecho pública Movistar sobre su servicio y, a falta de hacer una prueba de funcionamiento real del mismo, han señalado algunos supuestos riesgos en materia de ciberseguridad que podría tener Movistar Car para el usuario. También hemos consultado a Movistar para conocer su versión sobre estas posibles vulnerabilidades. ¿Qué dicen los hackers y qué dice Movistar?

Privacidad del usuario

¿Qué dicen los hackers? La primera alerta está relacionada con la privacidad del usuario, ya que, una vez instalado Movistar Car en el coche, este servicio tendrá acceso a información del teléfono como contactos de la agenda o la localización de tu smartphone.

Todo a través de la aplicación móvil que sirve de conexión entre el dispositivo físico y el smartphone. Nuestros hackers avisan que habrá que ver los permisos que solicita la aplicación final al usuario que la instale en su móvil, y las posibles vulnerabilidades que tenga.

¿Qué dice Movistar? “Movistar se limita a usar aquellos datos necesarios para ofrecer al cliente todas las funcionalidades del servicio que ha contratado el cliente y para lo cual ha dado previamente su permiso. Por ejemplo, utilizamos la posición GPS del teléfono para geolocalizar al usuario y poder prestar servicios, como la navegación hasta el coche -en el caso de que no recuerdes dónde está y necesites ayuda para llegar a él-”.

Persona manejando una tablet dentro de su coche
Photo by rawpixel.com from Pexels

Tomar el control de algunos elementos del vehículo

¿Qué dicen los hackers? Otro posible riesgo que señalan los hackers es que los ciberdelincuentes -los denominados “crackers”- podrían supuestamente bloquear la dirección o los frenos, desbloquear las puertas y robar el vehículo a través del Internet proporcionado por Movistar Car.

Esto sería posible porque Movistar Car accede a la información de todas las unidades de mando del coche. Todo gracias a que el dispositivo que se conecta al coche para ofrecer Internet se introduce en el conector OBD-II de vehículo. Este tipo de conectores, obligatorios en los coches europeos desde hace algo más de una década, son un puerto de comunicación entre todas las unidades de mando que hay en el coche y un ordenador externo.

Esto permite a los talleres detectar con rapidez una avería y sus posibles causas, debido al diagnóstico de todo el coche que llega a través de esta toma. Y a Movistar Car ofrecer avisos de posibles averías o de futuras revisiones. Por eso, si un ciberdelincuente viola los sistemas de seguridad de Movistar Car, podría acceder y manipular todos esos sistemas del vehículo.

Imagen del anuncio de Movistar Car

¿Qué dice Movistar? “Desde el punto de acceso hotspot” -el aparato conectado al OBD- “es imposible acceder a los sistemas internos del dispositivo, ya que la arquitectura del mismo no lo permite.

¿Cómo gestionará Movistar todos los datos que recabe de los usuarios de Movistar Car? ¿Qué uso hará con ellos? ¿Podría vendérselos a terceras empresas?

El software del dispositivo está protegido por un sistema de cifrado mediante certificados sin los cuales no es posible interactuar con el dispositivo. Incluso en el caso de que quien quisiera acceder tuviera los certificados para ello, el dispositivo tiene por defecto deshabilitado el acceso al mismo. Por tanto, habría que desbloquearlo antes de poder acceder a él. Además, el software encargado de comunicarse con la MCU no implementa ningún comando de escritura, sólo de lectura.

Para poder completar el proceso de registro y puesta en marcha del servicio, el usuario principal de Movistar Car lo primero que tiene que hacer es descargarse la app en su dispositivo móvil, que desde ese momento va asociado a ese usuario y que va conectado a un único vehículo, de manera que cada usuario principal de la app puede ver única y exclusivamente la información que el OBD recoge de su coche y de ningún otro.

Los usuarios invitados pueden hacer uso del wifi de Movistar Car introduciendo las claves que están en la app en la que se ha registrado el usuario principal, es decir, los dispositivos se conectan como un wifi normal, con su móvil”.

¿Qué hará Movistar con los datos del usuario?

¿Qué dicen los hackers? Además, a nuestros hackers también les ha surgido una gran duda: ¿cómo gestionará Movistar todos los datos que recabe de los usuarios de Movistar Car? ¿Qué uso hará con ellos? ¿Podría vendérselos a terceras empresas?

¿Qué dice Movistar? “Movistar únicamente comunicará datos personales a terceros para cualquiera de las finalidades previstas en la Política de Privacidad de Movistar, aceptada previamente por el cliente que contrata el servicio. La información que maneja Movistar Car está almacenada en las bases de datos alojadas en los servidores del servicio, alojados físicamente en un data center que cumple con todos los requisitos de seguridad del mercado”.

¿Quién tiene razón?

Para responder a esta pregunta, los expertos de seguridad de HackerCar someterán a una prueba de uso real a este servicio. 

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!
  1. Pues no se, pero lo de la privacidad… Tiene toda la pinta que algunos de los servicios consisten en vender datos a otras empresas. ¿Como si no van a dar descuentos en talleres o en los seguros?

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.