Ataques

¿Qué pasa si haces caso a este anuncio del Nissan Juke?

Este renovado modelo presume de poder conectarse al asistente de voz de Google. Pero una investigación ha descubierto un fallo de ciberseguridad en estos dispositivos. ¿Cuál es esa vulnerabilidad y cómo le afecta al Juke?

Tres Nissan Juke de nueva generación posan delante de frente

“Ok, Google, envía la ubicación del trabajo al Juke”.

Así empieza el anuncio con el que Nissan está publicitando la nueva generación de este modelo. En el spot en cuestión, el protagonismo lo tiene una de las características estrella del Nissan Juke: es compatible con el asistente de voz de Google. Por tanto, si juntas ese coche con un altavoz inteligente que funcione con dicho ayudante, podrás dar órdenes al vehículo con la voz.

Parece bueno, ¿no? Sin embargo, coincidiendo con el estreno de ese anuncio, saltó una noticia que no dejaba bien parados a ese tipo de asistentes.

Algo entró por la ventana…

Resulta que unos investigadores descubrieron que se puede engañar a varios modelos de esos ayudantes virtuales. En concreto, es posible suplantar la voz y darles órdenes con un puntero láser.

Los científicos comprobaron que el haz de luz del láser, dirigido hacia el micrófono de los altavoces inteligentes -la parte física del asistente-, causa el mismo efecto que un humano hablando. Y así pudieron controlar los dispositivos conectados a ellos.

De esta forma, manipularon varios elementos de la domótica de las casas. Incluso abrieron la puerta del garaje y arrancaron algunos coches que estaban conectados a los asistentes. Es decir, las mismas instrucciones que puedes dar con tu voz se pueden dar con un simple puntero láser.

Y lo lograron con distancias de varias decenas de metros y a través de ventanas. Esto hace teóricamente posible que alguien con un láser pueda interferir desde la calle en tu altavoz inteligente y manipular todo lo conectado a él. Coches incluidos.

¿Estaba el de Google entre esos asistentes vulnerables? Sí. ¿Significa eso que si te compras un Nissan Juke y lo conectas al asistente de Google te podrían robar el coche con un láser? La respuesta no está tan clara.

¿Qué le puedes ordenar a un Nissan Juke?

Para poder entender toda la dimensión, conviene analizar qué puedes hacer con el asistente de Google -y por tanto, qué podría hacerse con un láser- en un Nissan Juke.

El fabricante explica que la conectividad entre ambos permite mandar la ubicación desde tu smartphone al sistema de navegación del vehículo, comprobar si las puertas del vehículo están o no cerradas –y abrirlas y cerrarlas- o activar las luces y el claxon a la vez. También se puede obtener la ubicación en tiempo real del coche y consultar cuántos kilómetros se han recorrido en el último viaje/día/semana, etc.

Además, en respuesta a las preguntas de HackerCar, Nissan ha confirmado que esta funcionalidad se extenderá al Navara y el Leaf durante el 2020. También a lo largo de este año será compatible con Amazon Alexa –otro asistente vulnerado por los investigadores-.

¿Se podrá controlar todo eso con un láser?

Abrir y cerrar las puertas o saber la ubicación de un coche son funciones muy útiles… y peligrosas si caen en manos de un delincuente. Pero no es tan sencillo que cualquiera que apunte a un altavoz inteligente con un láser logre afectarlo.

«Es un ataque que ha funcionado en laboratorio, pero no le veo una aplicación real más allá de lo anecdótico» opina Carlos Sahuquillo, consultor de ciberseguridad del automóvil en GMV.

Para él, simplemente se trata de un riesgo que hay que tener en cuenta, pero con el que no hay que volverse loco. «Al ser un ataque que se podría llegar a ejecutar con tiempo y recursos, ciertos organismos que manejan información clasificada están obligados a tenerlo en cuenta y tomar las medidas oportunas. Sin embargo, en un análisis de riesgos estándar, cualquier empresa descartaría esta posibilidad» explica Sahuquillo.

«Si alguien quiere atentar contra tu vida, hay formas de hacerlo mucho más sencillas de hacerlo que utilizar un láser para modificar el comportamiento del vehículo» concluye el experto.

Concierto en una discoteca con multitud de láseres verde
Imagen de Thom Jennings en Pixabay

Coincide en su razonamiento Álex Casanova. Este experto en la dirección y gestión de servicios de ciberseguridad indica que no hay que caer en el alarmismo, porque «explotar este tipo de vulnerabilidades no está al alcance de cualquiera».

Un ataque de estas características es complejo técnicamente y además necesita que el altavoz esté situado en un lugar de la casa que lo haga accesible a un láser que penetre desde el exterior, «lo cual no siempre será así» afirma.

Por lo que respecta a Nissan, el fabricante declara que no ha detectado ningún ataque de estas características en el Juke –que lleva en torno a un mes a la venta-. Además, la marca «garantiza un acceso seguro a los servicios que proporciona» y explica que «todos los sistemas informáticos relacionados con asistentes virtuales residen en una infraestructura de seguridad avanzada».

Por si acaso…

Casanova marca el camino a los fabricantes que, como Nissan, hagan compatibles sus vehículos con un asistente de voz: deberían añadir un segundo factor de autenticación. Sería una confirmación, mediante una acción extra aparte de la voz, de que se quiere realizar una acción a través del asistente.

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.