Expertos HC

Qué le pasa a un hacker cuando va a comprar un coche nuevo

Para adquirir un nuevo vehículo, se suele ir al concesionario para resolver sus dudas. Pero las preguntas de un experto en ciberseguridad no son las habituales. Esta es la experiencia de un hacker.

Puesto de conducción de un vehículo muy avanzado

Adquirir un coche nuevo nunca ha sido una decisión que debiera tomarse a la ligera. A la gran cantidad de modelos existentes, con gran variedad de tamaños y características, se le suma actualmente todo el apartado tecnológico que incorporan y que los hacen más atractivos si cabe. Pero al trabajar en el mundo de la seguridad informática, las características que busco pueden diferir notablemente de las que buscan la mayoría.

Eficacia alemana

El caso es que, ante la oferta actual de vehículos y las facilidades de pago que ofrecen muchos fabricantes, decidí hace unos meses visitar varios concesionarios de vehículos para ver los modelos existentes y sus características. Para facilitar la tarea, me estoy centrando en fabricantes alemanes y japoneses, aunque no descarto otras opciones en el futuro.

Tras informarme de los modelos interesantes en el segmento de los compactos hice mi primera incursión en el concesionario del, llamémosle, fabricante alemán 1. Allí me atendieron de forma muy amable y me invitaron a conocer con todo detalle el interior del vehículo. Lo primero que captó mi atención fue el considerable tamaño de la pantalla que ocupaba la parte centrar del salpicadero y que se encargaba de gestionar todo el tema de información y entretenimiento –infotaiment para los amigos-.

Su reacción inicial fue de asombro y reconoció no disponer de la información necesaria para poder contestar a mis preguntas.

Esa pantalla y el cuadro de mandos digital ya me anticipaba que esta búsqueda iba a ser más interesante de lo que parecía a primera vista. Así pues, tras presentarme el comercial un presupuesto del vehículo, comencé a plantearle una serie de dudas a las que no estaba acostumbrado. Dudas como que me indicase el número de sensores que equipaba el vehículo, si la Unidad de Control Electrónica -conocida comúnmente como Centralita o ECU- la fabricaban ellos u otra empresa o que me detallase todas las opciones de conectividad del vehículo con otros dispositivos.

Como podréis imaginar, su reacción inicial fue de asombro y reconoció no disponer de la información necesaria para poder contestar a mis preguntas, aunque me ofreció la posibilidad de hablar con un representante de su marca para obtenerlas, disponibilidad que agradecí.

La siguiente visita fue para el fabricante alemán 2, también con modelos bastante recientes y con la integración de la tecnología como uno de los atractivos más interesantes. En esta ocasión destacaba la disposición de las pantallas y del cuadro de mandos en una consola doble montada de forma horizontal sobre el salpicadero, con múltiples opciones de personalización e incluso el uso de la realidad aumentada en algunas de sus funciones.

Visto lo visto, procedí a preguntar al comercial acerca de los mismos puntos que hice en el concesionario anterior, haciendo hincapié en dos puntos que, para mi son de vital importancia: el sistema de arranque keyless y la conexión con el smartphone. Tras explicar mi preocupación ante las vulnerabilidades existentes en estos sistemas, el comercial me tranquilizó diciendo que ambas opciones se pueden deshabilitar.

Sentí especial curiosidad por comprobar que sistemas del vehículo interaccionaban con la aplicación móvil y el comercial no tuvo problemas en enseñarme su funcionamiento e incluso permitió que tomase capturas de pantalla. En las imágenes que se pueden ver a continuación se observa que además de proporcionar información acerca del estado de varios componentes o del uso del automóvil, también se permite abrir y cerrar puertas, maletero y ventanillas de forma remota.

Capturade pantalla de la aplicación de un coche

No hace falta decir que comprometer la seguridad de una aplicación de estas características supondría un serio problema para los propietarios de este tipo de vehículos. Por eso, y, tras expresada mi inquietud acerca de este tema, el comercial me mandó pocos días después un vídeo donde se explicaba el funcionamiento con más detalle y como las comunicaciones desde la aplicación hasta el vehículo, pasando por los servidores del fabricante, se realizaban de forma cifrada.

Si bien aún quedan por resolver otros aspectos importantes de la seguridad lógica, podríamos decir que la experiencia con los fabricantes alemanes fue bastante buena a nivel de disponibilidad y ganas de ayudar, a pesar de no tener tanto conocimiento sobre las partes más tecnológicas de sus vehículos como sí lo tenían de la motorización, modelos y opciones de equipamiento.

Innovación japonesa

Tras la visita a los dos fabricantes alemanes y preguntar por coches con motorización clásica de gasolina tocaba un cambio, así que me dirigí a visitar otros dos concesionarios de fabricantes japoneses para ver que modelos interesantes con motorización híbrida me podrían ofrecer. En el fabricante japonés 1 tuve que hacer dos visitas ya que me presentaron dos modelos diferentes y uno de ellos, al ser de reciente lanzamiento, no lo tenían aun disponible la primera vez que los visité.

De todas formas, el resumen de la visita fue bastante parecido en ambos casos. El comercial me enseñaba un modelo, me invitaba a comprobar su interior, hablarme de las bondades del motor híbrido y de la integración de la tecnología en sistemas como el infotaiment, asistencia a la conducción y sistemas de seguridad.

Sobre el papel todo muy bonito, pero, a la hora de plantearles mis cuestiones relacionadas con la seguridad lógica de sus vehículos obtuve el silencio por respuesta, sin posibilidad de obtener más información a posteriori como si sucedió en los casos anteriores. Lo mismo para los paquetes de configuración de los vehículos, y es que no entendía cómo no se podían añadir características tan básicas como sensores de aparcamiento y estos solo se podían obtener en el modelo más alto de la gama.

En materia de ciberseguridad noté bastante desconocimiento acerca del tema, a pesar de ser un fabricante que se ha preocupado en conferencias de nuestro ámbito en presentar soluciones.

Fue especialmente decepcionante comprobar como dos añadidos tecnológicos tan interesantes como son la integración con Apple CarPlay o el head-up display habían sido eliminados para la versión europea de este modelo, pero el precio se había mantenido igual o era incluso superior al de otras regiones. Los motivos que me dieron fueron bastante interesantes: no los habían certificado para ser usados en la UE por cuestiones de seguridad al volante y privacidad.

Ya entrando en materia de ciberseguridad noté bastante desconocimiento acerca del tema, a pesar de ser un fabricante que se ha preocupado en conferencias de nuestro ámbito en presentar soluciones para detectar vulnerabilidades en vehículos. Tampoco obtuve información a la hora de preguntar sobre las conexiones que realizan los diferentes sensores de los que dispone el vehículo, y que permiten cierto grado de conducción autónoma, o la segmentación de los diferentes sistemas que se comunican a través del CAN bus de vehículos, y así evitar acceder a sistemas críticos desde otros más desprotegidos. En resumen, bastante defraudado, especialmente porque era el fabricante con el que tenía mayores expectativas.

Para terminar este recorrido, visité un concesionario del fabricante japonés 2 que, también recientemente, había presentado un modelo mild-hybrid y que por precio y prestaciones parecía bastante interesante. En este caso, por la hora, por el número de clientes y porque solo había un comercial disponible, no pude entretenerme demasiado en las preguntas pero, aun así, obtuve información interesante.

En este caso, el comercial me comentó que, a diferencia de otros fabricantes que comparten piezas, en su caso ellos fabricaban todo el equipamiento del vehículo, al menos en lo relativo a la motorización. No es el caso para la centralita, que monta una parecida a la que usan la mayoría de sus competidores. En cualquier caso y, pese al poco tiempo que pudo dedicar a mis preguntas, si que me mostró un vídeo promocional de lo que será su próxima generación de motor, algo que pinta bastante bien.

Conclusiones

Como he dicho al principio de este artículo, mi perfil de comprador difiere bastante del que se encuentra un comercial en su día a día. Donde a algunos les interesa saber la potencia o el consumo del vehículo, a mí me interesa como de resistente es frente a los ataques que llevamos años observando en varios modelos. Sin embargo, eso no es excusa para que, en algunos casos, se ignoren hasta las preguntas más razonables relacionadas con la ciberseguridad.

En líneas generales podríamos decir que la atención fue buena -con alguna excepción- a pesar del desconocimiento de los comerciales de varios puntos que considero clave y que se pueden obtener a través de Internet, incluso en la propia web del fabricante. Sin embargo, es posible que este desconocimiento se deba más a una falta de formación por parte de la casa matriz que por desidia del comercial, algo en lo que se debería hacer hincapié para evitar situaciones en las que yo, como comprador, tenía más conocimiento de la tecnología que llevaba el vehículo que el propio comercial del concesionario.

De todas formas, aun quedan varias visitas que hacer, coches que probar y preguntas con trampa que realizar. ¡Seguiremos informando!

Josep Albors
Soy responsable de Investigación y Concienciación de ESET España. Tengo más de 14 años de experiencia en el mundo de la seguridad informática y estoy especializado en el análisis de malware. También edito el blog de ESET España y colaboro en el blog internacional de ESET en español, WeLiveSecurity, además de otras múltiples publicaciones relacionadas con la seguridad de la información. He sido ponente en algunas de las conferencias de seguridad más importantes de España, además de colaborar con iniciativas como X1RedMasSegura. También he impartido charlas de concienciación y educación en seguridad informática y privacidad en centros educativos de todo tipo. Además, soy profesor en cursos de experto en seguridad y derecho tecnológico y congresos sobre ciberseguridad organizados por varias universidades españolas, y he colaborado con la Guardia Civil, Policía Nacional y el Ejercito de Tierra en la formación de nuevos agentes en materias relacionadas con la seguridad informática, ciberinteligencia y la prevención de la ciberdelincuencia.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.