De manera general hackear un vehículo es tomar el control por vía remota de ciertas funciones de dicho vehículo. Esas funciones van desde encenderlo y apagarlo hasta inutilizar los frenos. La condición necesaria es que el vehículo tenga una computadora capaz de conectarse a internet. Este riesgo latente hace que, en la actualidad, una de las áreas de investigación de mayor auge en el ámbito de la seguridad informática, es el de las vulnerabilidades en automóviles.

Sistemas TPMS inalambricos. La puerta para hackear un vehículo.

Los expertos de la multinacional especializada en ciberseguridad, S21sec, han llevado a cabo una serie de investigaciones en España en el área de la ciberseguridad en automóviles. En el curso de estas investigaciones ha combinado pruebas en laboratorio con pruebas reales en los sistemas TPMS inalámbricos. En todo momento han apuntado a descubrir las formas en las que se puede hackear un vehículo 

Los sistemas TPMS inalámbricos se encuentran instalados en la mayoría de vehículos actuales. En cada vehículo dotado de este sistema, cada neumático incluye un sensor que monitorea diversos valores y los transmite a una Unidad de Control de Motor (ECU). En caso de pérdidas apreciables de presión en el neumático, el conductor es alertado.

Los investigadores lograron descubrir que la mayoría de estos sistemas transmiten en texto plano los valores medidos. De igual manera, adjuntan a los archivos un identificador único que puede ser detectado desde una estación receptora. La señal puede ser usada para detectar la presencia del automóvil o modificar sus patrones de uso.

De igual manera, es también posible realizar algunas acciones activas contra el TPMS. Por ejemplo, se puede hacer que el vehículo piense que tiene un problema en un neumático, o con el sistema de control. El resultado puede ir desde el encendido de una luz de advertencia hasta hacer que el auto entre en modo de seguridad limitando en consecuencia la velocidad máxima. Estas son evidencias suficientes para pensar que se puede hackear un automóvil.

No obstante, las opiniones están divididas. Por una parte los fabricantes de automóviles afirman que es difícil que los TPMS puedan recibir este tipo de transmisiones. Por el otro lado, los expertos de S21sec dicen lo contrario. Refieren que usando una estación receptora, que se puede adquirir por menos de 40 euros, se puede hacer. De hecho, confesaron que por esta vía pudieron captar los TPMS de vehículos que circulaban por la zona, en un rango de hasta 400 metros.

El hackeo de automóviles es un riesgo en incremento

Hackear un vehículo se ha tornado una acción común en estos días. Es un riesgo en incremento del cual ningún conductor está a salvo. En pocos años ha pasado de ser un ataque perpetrado por especialistas a una acción de menos sofisticación. Para demostrarlo las empresas de ciberseguridad han demostrado que un aficionado puede montar un pequeña estación receptora con pocos euros y pocas horas de trabajo. 

Las áreas de riesgos aumentan cada dia. Los sensores TPMS son solo una pequeña parte de la superficie inalámbrica expuesta del automóvil A ellos se unen otros sistemas como el sistema de arranque sin llave y el sistema GPS, entre otros. Todos ellos usan comunicaciones vía radiofrecuencia que son susceptibles de tener brechas de seguridad informática y privacidad.

Qué están haciendo las marcas para evitarlo

Las marcas automovilísticas están poniendo todo de su parte para que sus productos sean invulnerables a los ataques de los ciberdelincuentes. Para poder superar el reto, están recibiendo asesorías de expertos que llevan años en el área de protección de ordenadores y teléfonos. Entre ellas se pueden mencionar Carlos Ferro, Symantec Enterprise Country Manager en Iberia. 

Al respecto, estos especialistas recomiendan mas que pensar en el coche cuando se conecta a internet, centrarse en sus aplicaciones y la seguridad de las redes. Asimismo sugieren siempre abordar el problema como una red de carreteras pobladas de coches independientes. Bajo estas condiciones , los vehículos comienzan a comunicarse y pueden asumir comportamientos “aprendidos”. Esto genera intercambio de datos con un riesgo implícito en su privacidad.  

Estos expertos en ciberseguridad trabajan junto con los fabricantes de automóviles y de chips inteligentes para mejorar la seguridad de la conectividad. Estos chips inteligentes se instalan en los diferentes sistemas del vehículo. En especial, se encuentran en el ordenador que opera y controla los dispositivos conectados y los microcontroladores que monitorean el motor. La intención es que se pueda neutralizar un ciberataque contra el vehículo por causa de un virus.

Hay un notable incremento en los robos de coches en América del Norte y Europa cometidos por cibercriminales usando herramientas informáticas. Este tipo de amenazas sólo se pueden conjurar con sistemas complejos de ciberseguridad como los desarrollados por Symantec. 

No obstante las marcas están conscientes de que los ataques más peligrosos provienen de entornos cercanos. Citan como crítico un ataque desde otro coche en un carril paralelo. En esas condiciones hackear un vehículo puede desembocar incluso en una activación de los frenos desde el otro vehículo.

¿Se puede hacer hacer vehículos ciberseguros?

Las marcas fabricantes se están centrando en la protección contra ciberataques desde el momento mismo del inicio del proceso de fabricación. Las área a las que se les presta mayor atención son las que tienen que ver con las comunicaciones. Esto abarca microcontroladores, sensores, microprocesadores y sistemas de mitigación de amenazas avanzadas. Nada es suficiente cuando se trata de evitar de que se pueda hackear un vehículo.

En la opinión de Carlos Tomás, CTO de la empresa de desarrollo de soluciones tecnológicas Enigmedia la solución va más allá de bloquear los ataques. Para impedir la posibilidad de que se pueda hackear un vehículo, se debe trabajar en el área de la prevención. En ese sentido, señaló que se deben crear centros de control que puedan detectar intentos de ataque contra coches.

Cita como ejemplo el papel que tuvo un vehículo conectado a un centro de control en la disminución de las consecuencias en el atentado de Berlín. De igual manera comparte la reflexión de que el terrorismo es cada vez más preocupante. La sociedad es víctima del miedo al saber que los terroristas pueden intervenir los sistema de aviones (11-S ) y automóviles (Niza y Berlín,  2016).

Probabilidades de los hackers

En el atentado de Berlín (19 de diciembre de 2016) el sistema de soporte del frenado del camión evitó una tragedia mayor. Al detectar el primer impacto el sistema activó el mecanismo automático de frenado. Obviamente, el terrorista desconocía esta funcionalidad, pero de haberla conocido, ¿habría podido desactivarla fácilmente?

La respuesta a esta pregunta es: si el terrorista hubiese sabido que el camión estaba dotado con este sistema, no le habría sido difícil neutralizarlo. Al respecto, Robert Leale, fundador de CanBus Hack, lo demostró en la conferencia Black Hat de 2016. En ella pudo probar que es posible saturar el bus CAN. Esta es la red de comunicación que interconecta los sensores y los actuadores de un vehículo. De manera tal que el sistema de frenado automático nunca habría detectado el primer impacto.  

Para hackear un vehículo, la principal limitación es que hay que acceder físicamente al bus de comunicaciones (bus CAN). En algunos casos se puede hacer desde el exterior desmontando los espejos eléctricos. En otros casos es tan fácil como secuestrar al conductor y reducirlo para tener el control. Se prevé que en el futuro no haga falta hacer ninguna de las dos cosas. 

Los nuevo vehículos autónomos (sin conductor) empiezan a ser tendencia en el sector del transporte de mercancías. Ya se usan en cierta áreas entre las que destaca la minería. En septiembre de 2016, Uber hizo su primera prueba de transporte autónomo en una carretera de Colorado (EE.UU). Quiere decir esto que es posible que un hacker tome el control de un vehículo desde cualquier lugar del mundo.

Qué pueden hacer los fabricantes para que un auto no se pueda manejar por control remoto

  • Separar físicamente los buses de comunicaciones de los vehículos. Esto para evitar que se puedan controlar remotamente los mecanismos críticos del vehículo.
  • De no ser posible la separación física, deben implementar sistemas de cifrado para crear una separación lógica (virtual). De esta manera se blindan las comunicaciones entre los distintos sistemas del vehículo. Además, la privacidad de los usuarios queda protegida..
  • Implementar claves distintas para cada uno de los sistemas. Así se evita  que se pueda suplantar o colapsar la red de sensores y actuadores del vehículo.
  • Implementar centros de control para detectar ataques contra coches conectados y, si es posible, neutralizarlos en tiempo real. El control que tiene la DGT para gestionar el tráfico en un muy buen ejemplo.
  • Aumentar las funcionalidades de seguridad en los propios chips que usan los vehículos.

 

Dejar respuesta

Please enter your comment!
Please enter your name here