Charlie Miller (right) a security researcher at Twitter, and Chris Valasek (left), director of Vehicle Security Research at IOActive, have exposed the security vulnerabilities in automobiles by hacking into cars remotely, controlling the cars' various controls from the radio volume to the brakes. Photographed on Wednesday, July 1, 2015 in Ladue, Mo. (Photo © Whitney Curtis for WIRED.com)
William Peña·
Futuro conectadoVida Digital
·3 Minutos de lectura

Automóviles conectados: presa fácil de ciberdelincuentes

La conexión de los autos con Internet tiene varios años, pero es posible que otros puedan tomar el control sin que te des cuenta y las consecuencias podrían ser graves.

PC World en Español

Como se sabe, desde hace tiempo los autos se conectan a la red y esa conectividad, que incluye no solo sus sistemas de información y entretenimiento, sino también los sistemas esenciales del vehículo, como cerraduras de puertas y encendido, ahora están disponibles en línea.

Y es que con la ayuda de aplicaciones móviles, ahora es posible obtener las coordenadas de ubicación del vehículo, así como su ruta y abrir puertas, arrancar el motor y controlar dispositivos adicionales en el automóvil.

Todo ello suena genial, pues estas son funciones extremadamente útiles, pero por otro, queda la interrogante de ¿cómo aseguran los fabricantes estas aplicaciones contra el riesgo de ataques cibernéticos?

Investigadores de Kaspersky Lab tomaron la decisión de probar esas medidas y, en esa línea, detectaron unos cuantos puntos no muy buenos para los fabricantes.

Del total de siete aplicaciones para el control a distancia de automóviles probadas y que fueron desarrolladas por algunos de los principales fabricantes y que fueron descargadas decenas de miles de veces y, en algunos casos, hasta cinco millones de veces, la investigación descubrió que cada una de las aplicaciones examinadas contenía varios problemas de seguridad.

La lista de los problemas de seguridad descubiertos incluye:

  • No hay defensa contra la ingeniería inversa de la aplicación. Como resultado, usuarios malintencionados pueden entender cómo funciona la aplicación y buscar una vulnerabilidad que les permita obtener acceso a la infraestructura del servidor o al sistema multimedios del automóvil.
  • No hay verificación de la integridad del código, lo cual es importante porque permite a los delincuentes incorporar su propio código en la aplicación y reemplazar el programa original por uno falso.
  • No hay técnicas para detectar un rooting. Los permisos de root le dan a los troyanos casi infinitas posibilidades y dejan indefensa a la aplicación.
  • Falta de protección contra las técnicas de superposición de aplicaciones. Esto ayuda a las aplicaciones maliciosas a mostrar ventanas de phishing y a robar las credenciales de los usuarios.
  • Almacenamiento de inicios de sesión y contraseñas en texto sin formato. Aprovechando esta debilidad, un criminal puede robar los datos de los usuarios con relativa facilidad.

 

Y es que después de un ataque exitoso, un cibercriminal puede ganar control sobre el automóvil, desbloquear las puertas, apagar la alarma de seguridad y, teóricamente, robar el vehículo.

En cada caso, el vector de ataque requeriría algunos preparativos adicionales, como el de tentar a los propietarios de las aplicaciones a que instalen apps maliciosas especialmente diseñadas que hagan rooteo en el dispositivo y obtengan acceso a la aplicación del automóvil.

Sin embargo, como han concluido los expertos de Kaspersky Lab después de investigar otras aplicaciones maliciosas dirigidas a robar credenciales en las transacciones bancarias efectuadas en línea y otra información importante, es poco probable que esto sea un problema para criminales con experiencia en técnicas de ingeniería social si decidieran salir a la caza de propietarios de automóviles conectados.

La conclusión principal de la investigación es que, en su estado actual, las aplicaciones para autos conectados no están preparadas para soportar ataques de malware.

Al pensar en la seguridad del automóvil conectado, no sólo debe considerarse la seguridad de la infraestructura del lado del servidor. En Kaspersky esperan que los fabricantes de automóviles tengan que ir por el mismo camino que han recorrido los bancos con sus aplicaciones.

Y es que inicialmente, las aplicaciones para la banca en línea no tenían todas las características de seguridad enumeradas en la investigación. Ahora, después de varios casos de ataques contra aplicaciones bancarias, muchos bancos han mejorado la seguridad de sus productos.

Ver también

Aunque todavía no se ha detectado ningún caso de ataque contra aplicaciones para automóviles, lo que significa que los vendedores de autos todavía tienen tiempo para hacer las cosas bien. Cuánto tiempo tienen exactamente, se desconoce. Los troyanos modernos son muy flexibles, un día pueden actuar como adware normal y al día siguiente pueden bajar fácilmente una nueva configuración que hace posible que se dirijan a nuevas aplicaciones. La superficie de ataque es realmente muy grande aquí.

 

Por ello, los investigadores de Kaspersky Lab aconsejan a los usuarios de aplicaciones para autos conectados que sigan estas medidas para proteger sus automóviles y sus datos privados contra posibles ataques cibernéticos:

 

  • No haga root en su dispositivo Android, ya que esto abrirá posibilidades casi ilimitadas a las aplicaciones maliciosas
  • Desactive la posibilidad de instalar aplicaciones de fuentes que no sean las de las tiendas de aplicaciones oficiales.
  • Mantenga actualizada la versión del sistema operativo de su dispositivo para reducir las vulnerabilidades del software y reducir el riesgo de ataque.
  • Instale una solución de seguridad probada para proteger su dispositivo contra ataques cibernéticos.

 

 

COPYRIGHT © 2019