Como hay una demanda creciente de “vehículos conectados”, muchos cuestionan las repercusiones de seguridad que han tenido las fallas mencionadas, pero debemos hacer hincapié en que los componentes del vehículo también son vulnerables. Por ejemplo, el inmovilizador. En un estudio, los investigadores Roel Verdult, Flavio Garcia y Baris Ege demostraron que los ciberdelincuentes podían desactivar este dispositivo electrónico de seguridad y apropiarse del vehículo sin necesidad de una “llave de verdad”. La investigación detalla cómo aprovecharon las vulnerabilidades de los protocolos de criptografía y autenticación que se usan en el transpondedor RFID Megamos Crypto (presente en muchos inmovilizadores).
“Las implicaciones de los ataques son graves para aquellos vehículos que tienen el sistema de arranque sin llave. En algún momento, se decidió eliminar la llave física, pero no se reforzaron los mecanismos de criptografía para amortiguar la pérdida”, dijeron los investigadores.
Su artículo explica: “Las implicaciones de los ataques que presentamos en este artículo son especialmente graves para aquellos vehículos que tienen el sistema de arranque sin llave. En algún momento, se decidió eliminar la llave física, pero no se reforzaron los mecanismos de criptografía para amortiguar la pérdida”.
Otra vulnerabilidad bien documentada proviene de las memorias USB que se usan para acceder al OBD (Sistema de navegación a bordo) para revisar los ha bitos de manejo del vehículo. A comienzos de este año, la aseguradora estadounidense Progressive estuvo en el ojo de la tormenta por entregar unidades flash USB inseguras.
El investigador Corey Thuen le dijo a Forbes: “El firmware que tiene la unidad es deficiente e inseguro. No valida ni verifica las firmas de las actualizaciones de firmware, no tiene secure boot, no tiene autenticación móvil [etc.]… ba sicamente, no utiliza ningún tipo de tecnología de seguridad”.
No necesitan estar conectados a Internet
Se suele pensar que solo los vehículos conectados pueden sufrir un ataque, pero lo cierto es que también pueden manipularse los que no esta n conectados, tal y como informó el sitio Dark Reading hace unos meses. Según la noticia, la policía del estado de Virginia logró manipular, a través de una serie de experimentos, a unos automóviles Chevrolet Impala modelo 2012 y Ford Taurus modelo 2013.
Los investigadores de este proyecto en marcha, en el que también participan la organización MITRE, el Departamento de Vehículos Motorizados y la Universidad de Virginia, descubrieron que podían impedir que entraran los cambios, aumentar la velocidad y, lo que es ma s importante, encender y apagar el motor por completo.
Adema s, los investigadores de MITRE escribieron un código de ataque que abrió el baúl, destrabó las puertas de los pasajeros, trabó la puerta del conductor, activó el limpiaparabrisas e hizo salir el líquido de limpieza.
No les fue sencillo atacar porque tuvieron que tomar el control de los sistemas informa ticos del vehículo policial, para lo que fue necesario acceder al auto físicamente. Los primeros ataques de MITRE se hicieron con una aplicación de teléfono móvil que estaba conectada a un dispositivo del vehículo mediante el Bluetooth.
Si bien para lanzar un ataque de esta naturaleza se deben conocer los detalles electrónicos del modelo elegido y tener acceso físico al vehículo, estos experimentos comprueban que se lo puede vulnerar aun cuando no esté conectado a Internet.
Se podrían atacar a los automóviles automa ticos
Se tienen por blanco a las automotrices, pero la gravedad de los ataques puede empeorar ahora que los automóviles automa ticos esta n cada vez ma s cerca de convertirse en realidad.
Varios especialistas en seguridad manifiestan su preocupación por los peligros que pueden venir de la mano de los automóviles automa ticos, y algunos incluso los demostraron. Jonathan Petit, investigador principal de la empresa de software de seguridad Security Innovation, descubrió que, con un simple puntero la ser, se puede interferir con los sistemas LIDAR, que son los que utiliza la mayoría de estos vehículos para guiarse.
El sistema LIDAR crea un mapa tridimensional emitiendo un rayo la ser que se refleja en los objetos que hay delante del vehículo, por lo que el sistema recibe un pulso que permite que el vehículo “vea” los obsta culos que hay en el camino. Sin embargo, Petit descubrió que si se apunta al vehículo con un puntero la ser y el sistema LIDAR lo detecta, el vehículo interpreta que tiene algo adelante y frena de golpe. El atacante también puede enviar una seguidilla de señales falsas, de modo que el vehículo frene para no colisionar contra obsta culos que, en realidad, no existen.
“Hay distintos modos de resolver esta cuestión —explicó Petit en la reunión con IEEE Spectrum—. Por ejemplo, mediante un sistema robusto que detecte incongruencias, se puede verificar la información y descartar los peligros irreales. No creo que las automotrices lo hayan pensado todavía, así que esta puede ser una llamada de atención importante”.