www.onemagazine.es
Cómo hackear un vehículo y qué hacen las marcas para evitarlo
Ampliar
(Foto: BP63Vincent)

Cómo hackear un vehículo y qué hacen las marcas para evitarlo

Actualmente, una de las áreas de investigación en auge en el ámbito de la seguridad informática es la de las vulnerabilidades en automóviles.

Los expertos de S21sec, multinacional especializada en ciberseguridad, han llevado a cabo una investigación en España, con pruebas en laboratorio y en el mundo real, de los sistemas TPMS inalámbricos disponibles en la mayoría de vehículos actuales –En un vehículo dotado de TPMS inalámbrico cada neumático incluye un sensor que mide diversos valores y los transmite de forma periódica a una ECU (Unidad de Control de Motor). En caso de pérdida significativa de presión en el neumático, por ejemplo, el conductor es alertado-.

Los investigadores descubrieron que la gran mayoría de estos sistemas transmiten en texto plano los valores medidos, acompañados de un identificador único, el cual podría captarse desde una estación receptora para verificar la presencia de un vehículo concreto o establecer patrones de uso. Es también posible realizar algunas acciones maliciosas activas contra el TPMS, como hacer que el vehículo piense que está teniendo un problema en un neumático, o en el sistema. El resultado puede ir desde el simple encendido del testigo a que el vehículo entre en modo de seguridad limitando la velocidad máxima.

¿Qué hay de las afirmaciones de los fabricantes en cuanto que es difícil recibir este tipo de transmisiones? Los expertos de S21sec, con una estación receptora completa adquirida por menos de 40 euros, fueron capaces de captar los TPMS de vehículos que circulaban por la zona, con un alcance de hasta 400 metros.

El hackeo de vehículos es un riesgo incremental y al alcance de cualquiera: En pocos años se ha pasado de ataques en el ámbito académico a la posibilidad de que cualquier aficionado pueda montar una estación receptora con unos pocos euros y horas de trabajo.

Los flancos de riesgos aumentan: Los sensores TPMS son solo una pequeña parte de la superficie de exposición inalámbrica del automóvil, a ellos se añaden otros como mandos del cierre centralizado tradicional o mediante aplicaciones móviles, sistemas de arranque sin llave, asistencia remota integrada a través de redes móviles, geo-localizadores anti-robo, navegadores que integran junto al GPS la información de tráfico, etc. Todos ellos utilizan comunicaciones vía radiofrecuencia susceptibles de tener implicaciones de seguridad informática y privacidad.

Qué hacen las marcas para evitarlo

Las marcas automovilísticas están poniendo todo de su parte para que sus productos sean invulnerables frente a los ataques de un ciberdelincuente. Sin embargo, para superar el reto al que se enfrentan, deberían tener en cuenta la opinión de aquellos expertos que llevan décadas protegiendo nuestros ordenadores, teléfonos...

Carlos Ferro, Symantec Enterprise Country Manager, Iberia: “Hay que centrarse en proteger las áreas más críticas del vehículo”

¿Qué es un coche conectado?

Más que pensar en el coche conectado como tal, nos gusta centrarnos en sus aplicaciones y enfocarnos en la seguridad de una red de carreteras pobladas de coches autonónomos, no sólo conscientes unos de otros, sino construidos para aprender de los comportamientos del resto. Y ello generará un intercambio de datos increíble y unas consecuencias enormes para la privacidad.

¿Cuáles son sus principales ciberamenazas y cómo lucháis contra ellas?

Estamos trabajando con fabricantes de automóviles y de chips inteligentes integrados en los coches para permitir la conectividad total de los diferentes dispositivos de forma segura. Estos chips inteligentes se encuentran en diversos sistemas del vehículo, como el ordenador que opera y controla todos los dispositivos conectados y los microcontroladores encargados de monitorizar el motor. El objetivo de estos chips inteligentes es impedir un ciber- ataque contra cualquier elemento del vehículo que pueda verse amenazado por un virus.

Lo que más te preocupa…

Cada vez hay más robos de coches en Europa y América del Norte realizados por cibercriminales con herramientas informáticas. Este tipo de amenazas sólo se pueden combatir con sistemas complejos de ciberseguridad como los que desarrolla Symantec. Sin embargo, los ciberataques más peligrosos para la integridad del conductor y los ocupantes de un vehículo conectado serían aquellos en los que un hacker pudiera colocarse con otro coche en un carril paralelo al que nosotros circulamos y activar los frenos de nuestro vehículo sin previo aviso.

¿De qué manera pueden las marcas de coches hacer vehículos ciberseguros?

Centrándose, desde el proceso de fabricación del coche, en las áreas que necesitan mayor protección contra ciberataques. Son las que tienen que ver con las comunicaciones que integra el vehículo -incluyendo las de cada uno de sus sensores, microcontroladores y microprocesadores- y la mitigación de amenazas avanzadas.

Carlos Tomás, CTO de Enigmedia: “Hay que crear centros de control que detecten ataque contra coches”

Así redujo un coche conectado las consecuencias del atentado de Berlín: los pensamientos de Carlos Tomás. El terrorismo cada vez preocupa más, por el miedo que han infundido los terroristas al emplear aviones como en el caso del 11-S en 2001 o camiones, como sucedió en 2016 en Niza y Berlín.

En el atentado de Berlín, el sistema de asistencia al frenado con el que contaba el camión evitó una tragedia mayor. Al detectar el primer impacto activó el mecanismo automático de frenado. Es obvio que el terrorista desconocía esta funcionalidad, pero de haberla conocido, ¿habría podido desactivarla fácilmente?

Si el terrorista hubiese conocido ese sistema, no le habría sido complicado inutilizarlo.

Como ya demostró Robert Leale, fundador de CanBusHack, en la conferencia Black Hat de 2016, es posible saturar el bus CAN –la red de comunicación que interconecta los sensores y los actuadores de un vehículo- de forma que el sistema de frenado automático nunca habría detectado el primer impacto. El único reto es acceder físicamente al bus de comunicaciones -en algunos vehículos incluso se puede hacer desde el exterior; por ejemplo desmontando los espejos eléctricos-. Nada comparado con la dificultad que supone secuestrar a un conductor y reducirlo para poder hacerse con el camión. Y, en breve, puede que no haga falta ni eso.

Los vehículos autónomos empiezan a ser tendencia en el sector del transporte de mercancías. Ya están siendo usados, por ejemplo en minería, y Uber hizo en septiembre de 2016 su primera prueba de transporte autónomo en una carretera de Colorado -EE.UU.-. Ante este escenario, la posibilidad de que un terrorista hacker, desde cualquier lugar del mundo, se haga con uno de estos vehículos puede terminar convirtiéndose en un peligro real.

Debería ser una preocupación para los fabricantes, sobre todo si tenemos en cuenta la cantidad de ataques que han sufrido otros vehículos con control remoto -como los drones domésticos-, donde, en muchos casos, basta acercarse para poder suplantar la red a la que se conectan y tomar el control.

Qué hacen las marcas para que un coche no se pueda manejar por control remoto

1.-Separar físicamente los buses de comunicaciones para evitar que se puedan usar sistemas de monitorización remota para atacar mecanismos críticos del vehículo y hacerse con su control.

2.-Si la separación física no es posible, deben implementar sistemas de cifrado para crear una separación lógica –virtual-, de manera que se blinden las comunicaciones entre los distintos sistemas del vehículo. Además, se garantiza la privacidad de sus usuarios.

3.-Utilizar claves distintas para cada uno de los sistemas para evitar que se pueda suplantar o colapsar la red de sensores y actuadores del vehículo.

4.-Crear centros de control –como el que tiene la DGT para gestionar el tráfico- que permita detectar ataques contra coches conectados y, si es posible, remediarlos en tiempo real.

5.-Incorporar más medidas de seguridad en los propios chips que utilizan los vehículos.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Desarrollo Editmaker

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.