Los veh铆culos conectados ya son una realidad pero, 驴son seguros?

La privacidad, las actualizaciones y las apps de los smartphones para estos autos pueden ser tres vectores en los que se pueden centrar los cibercriminales para lanzar sus ataques.

Kaspersky Lab y IAB Spain, la asociaci贸n que representa al sector de publicidad, marketing y comunicaci贸n digital en Espa帽a, anuncian el lanzamiento del Primer Estudio de Coches Conectados, un trabajo de investigaci贸n pionero en el mundo.

El principal objetivo de este estudio es ofrecer una perspectiva de la situaci贸n del mercado de los autos conectados, aunando toda la informaci贸n disponible, resolviendo las preguntas frecuentes y comprendiendo la alta fragmentaci贸n existente entre los fabricantes. Vicente D铆az, analista senior de malware de Kaspersky Lab, ha sido el responsable de analizar, a trav茅s de una prueba de concepto, la seguridad de estos coches conectados a Internet.

En un carro conectado, no se pueden obviar cuestiones relacionadas con la seguridad en las comunicaciones y servicios derivados de Internet y que se incluyen en la nueva generaci贸n de autos 鈥渃onectados鈥. No estamos hablando ahora de asistencia al aparcamiento, sino de acceso a redes sociales, correo electr贸nico, conectividad con el smartphone, c谩lculo de rutas, aplicaciones que se ejecutan en el carro, etc. La inclusi贸n de estas tecnolog铆as implica una serie de ventajas, pero tambi茅n de nuevos riesgos a los que el usuario no ten铆a que hacer frente hasta ahora. Por ese motivo, es necesario analizar los distintos vectores que pueden provocar un posible ataque o fraude e incluso alg煤n incidente en el funcionamiento del veh铆culo.

La privacidad, las actualizaciones y las apps de los smartphones para estos carros pueden ser los tres focos de ataque en los que se pueden centrar los cibercriminales para realizar sus ataques con 茅xito.聽鈥淟os coches conectados abren la puerta a amenazas que ya exist铆an en el mundo del PC y de los smartphones, pero adaptadas a este nuevo medio. Adem谩s, la problem谩tica de la privacidad de datos tambi茅n llega al segmento del autom贸vil con gigantes como Google, que ya han colonizado algunos de los modelos del informe con su tecnolog铆a de b煤squedas. Los riesgos que pueden sufrir los usuarios de estos coches conectados van desde el robo de contrase帽as, apertura de puertas, acceso a servicios remoto, localizaci贸n del coche e incluso el control f铆sico del veh铆culo”,se帽ala D铆az.

La prueba de concepto realizada por Kaspersky Lab, basada en el an谩lisis del sistema BMW ConnectedDrive en concreto, ha encontrado distintos vectores de ataque potenciales:

–聽聽聽聽聽聽聽Robo de credenciales:聽El robo de credenciales de usuario para acceso al portal de BMW, ya sea mediante phishing, keyloggers o ingenier铆a social, permitir铆a a un tercero acceder a informaci贸n del usuario y del veh铆culo. A partir de aqu铆 se podr铆a instalar la aplicaci贸n para m贸vil con estas mismas credenciales que, en caso de tener activados los servicios remotos, podr铆a permitir activar la apertura de puertas por ejemplo.

–聽聽聽聽聽聽聽Aplicaci贸n m贸vil:聽En caso de tener los servicios de apertura remota activados el m贸vil se convierte en las llaves. Si la aplicaci贸n no est谩 bien asegurada, podr铆a ser un vector de ataque en caso de robo del tel茅fono. En este caso, parece que es posible modificar la base de datos de la aplicaci贸n para evitar la autenticaci贸n PIN, por lo que un atacante podr铆a evitarla y activar los servicios remotos.

–聽聽聽聽聽聽聽Actualizaciones.聽El proceso de actualizaci贸n de los drivers bluetooth es a partir de la descarga de un archivo desde la web de BMW que posteriormente instalaremos en el carro mediante un USB. Este archivo no est谩 cifrado ni firmado, y es posible encontrar dentro del mismo mucha informaci贸n interna del sistema que se ejecuta en el veh铆culo. Esto dar铆a a un atacante potencial con acceso f铆sico la posibilidad de conocer el entorno atacado. Tambi茅n parece que podr铆a modificarse la actualizaci贸n para ejecutar c贸digo malicioso.

–聽聽聽聽聽聽聽Comunicaciones:聽Algunas funciones se comunican con la SIM interna del veh铆culo mediante mensajes SMS. Estos mensajes se pueden llegar a descifrar y enviar haci茅ndose pasar por otro remitente, en funci贸n del cifrado de la operadora. En el peor de los casos se podr铆a reemplazar a BMW para la comunicaci贸n de ciertos servicios.

El estudio tambi茅n incluye un an谩lisis de la conectividad online y las apps de los principales fabricantes de autom贸viles en Espa帽a. Asimismo, se desglosa el modelo de negocio y las futuras tendencias en cuanto a plataformas de conectividad en el mercado. Las principales concusiones, tras analizar 21 modelos de veh铆culos distintos, las principales conclusiones del informe:

Alta fragmentaci贸n: de sistemas operativos, modos de conexi贸n y apps.

  • Servicios gratuitos durante un tiempo limitado: muchos fabricantes ofrecen una suscripci贸n gratuita durante un tiempo determinado.
  • El problema de la cobertura: muchos de los servicios online necesitan de cobertura 3G para funcionar con normalidad.
  • Consumo de datos: este consumo puede obligar al usuario a contratar una tarifa adicional.
  • Asistentes vocales: la mayor铆a de los modelos聽 la usan ya que es una de las maneras m谩s seguras de controlar la oferta de conectividad que ofrecen los fabricantes.

El estudio聽fue elaborado por IAB Spain junto con Applicantes, Periodismo del Motor.com, y聽 Kaspersky Lab.


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.