Un Audi A8 es, más que un coche, una oficina con ruedas. Un vehículo de gama alta que está dirigido a personas también de alto nivel que demandan mucha tecnología y conectividad para poder trabajar en su interior mientras se desplazan. Y, para ayudar en esa tarea, este modelo de Audi ofrece un punto de acceso WiFi que permite a sus pasajeros conectar a Internet hasta 8 dispositivos móviles.
Pero el cliente habitual de un Audi A8 también valora mucho su privacidad. Es el caso de un presidente de Gobierno, un ministro, un alto directivo…, gente que trabaja con datos muy valiosos.
Eso hace bastante probable que otros gobiernos o empresas rivales quieran espiarlos para obtener información secreta. Por eso, hemos querido saber si el punto de acceso WiFi del Audi A8 está bien protegido para evitar que un ciberdelincuente lo utilice para espiar a los ocupantes del coche. Nuestro hacker Yago Hansen ha analizado sus virtudes y defectos, y propone ideas para mejorar el nivel de ciberseguridad de este vehículo.
¿Cómo funciona el WiFi del A8?
Antes de conocer el análisis de Hansen, debes saber cómo funciona el WiFi del Audi A8. Por una parte, ofrece una red de funcionamiento interno que sirve para conectar a Internet algunos dispositivos del coche, como las tablets que equipa el coche en las plazas traseras y desde las que se pueden manejar algunos parámetros del coche. Esta red ofrece un alto nivel de seguridad -WPA2-PSK-CCMP- y su contraseña no puede ser consultada de una forma sencilla.
Pero esa no es la red destinada para que los pasajeros se conecten. Esa función recae sobre el otro punto de acceso WiFi, que genera una red inalámbrica interna que permite a los pasajeros del coche navegar por internet durante el viaje o con el vehículo parado.
Esta red ofrece igualmente seguridad WPA2 basada en AES y utiliza una clave que es la misma para todos los usuarios. Se pueden conectar hasta 8 dispositivos móviles a la vez, pero es necesario adquirir una tarjeta SIM de datos, ya sea a través de un proveedor de telefonía de nuestra elección o una que ofrece Audi integrada de fábrica.
El procedimiento para conectar los smartphones, tablets u ordenadores es muy similar al que realizas en tu casa para conectarte a tu red WiFi doméstica. Tienes que acceder a la contraseña que se muestra a través de la pantalla digital de la consola central del A8, buscar la red con tu dispositivo móvil, seleccionarla e introducir la contraseña.
El problema de tener una única contraseña
Esta clave que Audi establece para iniciar la conexión a Internet es larga y alterna diferentes tipos de caracteres -mayúsculas, minúsculas, números y símbolos-, lo que a Hansen le parece adecuado.
Sin embargo, nuestro hacker lamenta que es una contraseña fija e igual para todos los usuarios que viajen en el vehículo: “Desde el momento en el que alguien tenga acceso al WiFi del vehículo gracias a que alguien le proporcione la contraseña, esa persona ya tiene para siempre conexión a este vehículo, a no ser que la clave se cambie de forma frecuente, algo que no suele ser habitual” afirma Hansen.
Por eso, esta seguridad no le parece suficiente para un vehículo de esta clase: “Si estuviésemos en un vehículo familiar, de uso diario, este sí sería el modelo de seguridad WiFi a elegir, porque sería similar al de nuestras casas” añade nuestro hacker. Pero en este tipo de coche no sirve una protección doméstica: se necesita una más especializada dado que el alto nivel de los pasajeros les puede hacer susceptibles de ser espiados.
Para Hansen, habría sido más adecuado que el Audi incluyese al menos una clave “para invitados”. Se trataría de una contraseña única -como un ticket- para cada usuario y que fuese válida solo durante un tiempo, caducando al pasar unas horas o días. De esta forma, se evitaría que alguien que alguna vez haya sido autorizado a acceder al WiFi del A8 pudiera volver a hacerlo sin que el dueño tenga conocimiento.
Pero, mientras esto no cambie, ¿qué se puede hacer? Para solucionar en parte ese defecto, a Hansen le parece muy importante que el dueño del coche cambie con frecuencia la contraseña, y que la nueva clave tenga una longitud y variedad de caracteres similar a la original.
¿Puede acceder un cracker a través del WiFi?
Partiendo de este problema con la contraseña, Hansen ha imaginado una posible forma de espiar a los pasajeros del coche, que posibilitaría grabar audio y vídeo desde el propio interior del vehículo. Todo, a través de las tablets que equipan las plazas traseras del A8.
“Cuando dejas el coche a una persona o empresa para que lo limpien tanto por fuera como por dentro, la persona que lo haga tendrá muy fácil acceder a la contraseña del WiFi del vehículo. Simplemente tendría que efectuar un par de acciones a través de la pantalla de la consola central” explica Hansen. Esto permitiría a esa persona comprometer no solo la seguridad del WiFi, sino también la del propietario si crea otra red falsa cerca del dueño.
En un coche tan exclusivo estaría muy bien un sistema de tickets que permitiese conceder acceso controlado a su red WiFi para los pasajeros
“Además, la versión de Android utilizada en las tablets traseras, junto con sus vulnerabilidades, permitirían manipularlas para instalar una aplicación espía en las mismas. De esta forma, el cracker podría grabar audio y vídeo de lo que suceda en el interior del coche, que, por el tipo de cliente al que está destinado el coche, será bastante interesante” añade. Todo ello, sin que nadie note “absolutamente nada”.
Por otra parte, la manipulación de las tablets posibilitaría al ciberdelincuente averiguar la contraseña la WiFi interna del vehículo, lo que crearía “otras posibilidades interesantes para manipular el propio sistema de navegación y entretenimiento”. Esto abre un nuevo mundo de posibilidades de hacking desde el exterior del Audi.
¿Qué mejoras puede hacer Audi?
Aparte de la ya mencionada introducción de un sistema de gestión de contraseñas únicas para los invitados, Hansen tiene otras propuestas para mejorar el nivel de ciberseguridad de este coche. “Por un lado, aseguraría la red de comunicación interna de las tablets con el resto del vehículo” explica.
“También es muy necesario actualizar la versión de Android de las tablets internas a una más segura y sin vulnerabilidades conocidas. Por otro lado, añadiría el nuevo protocolo de protección de redes wifi, WPA3, en cuanto salga al mercado. Eso solucionaría bastantes problemas” concluye Hansen.
Si quieres ver la prueba completa del Audi A8, sigue este enlace.
