El siguiente post es una traducción de la publicación Could your next new car be hacked (should you be scared)? de nuestro investigador de ESET Norteamérica, Cameron Camp.
La ola de nuevas tecnologías están implementándose lenta pero de forma segura en las próximas generaciones de automóviles, los que actualmente incorporan capacidades como la conducción de forma semiautónoma, estacionarse casi por si solos, y de recibir y transmitir información en tiempo real, datos que luego son mostrados en pantallas ubicadas en los asientos con fines de entretención y asistencia.
En el último evento Blackhat del año pasado, pudimos observar una demostración en donde se vulneró la seguridad de un automóvil que utilizaba tecnología inalámbrica. En esa ocasión se pudo desbloquear las puertas y encender el motor de forma exitosa. ¿Qué sucedería si estos investigadores hubiesen optado por el "lado oscuro" con el fin de desbloquear automóviles y robarlos? Afortunadamente, esta pregunta queda sin respuesta ya que las personas detrás de esta demostración pusieron en conocimiento del fabricante de dicho automóvil, los antecedentes necesarios con el fin que se pudieran adoptar las medidas necesarias para solucionar esta falla de seguridad y evitar que personas menos nobles y con más tiempo libre, se dediquen a abrir puertas y conviertan esto en un negocio ilícito.
Tradicionalmente, la mayoría de los automóviles poseen sistemas informáticos integrados pero muy rudimentarios, que sólo cumplen funciones muy determinadas como medir la cantidad de combustible restante, hacer la transmisión más suave cuando se presiona el pedal de aceleración o para optimizar el rendimiento y consumo de gasolina.
Considerando que la industria automotriz tiene planeado lanzar al mercado autos con navegadores capaces de determinar la ubicación del mismo o que incluyan sistemas de información embebidos, ¿Qué tan lejos estamos de observar fraudes electrónicos o scams que se aprovechen de esta situación? Para responder esto, primero hay que mencionar que los exploits de navegadores en plataformas más tradicionales tienen un largo y amplio prontuario de fallos y vulnerabilidades que han sido explotados por ciberdelincuentes. Si pensamos que estos autos estarán dotados de altas prestaciones informáticas capaces de asistir en la conducción con información relevante, ¿Podría ser esta una nueva y fecunda plataforma para fines delictuales? Como se ha podido observar en este último tiempo, los exploits que utilizan Java y que muchas veces funcionan independiente del sistema operativo utilizado, podrían perfectamente afectar un automóvil que utilice alguna aplicación desarrollada en ese lenguaje, lo que podría facilitar el robo de información almacenada en la computadora del vehículo o incluso traer consecuencias mucho más graves.
Por lo general, la industria automotriz suele ser muy cuidadosa llevando a cabo variadas pruebas exhaustivas con el fin de determinar y solucionar posibles fallas en sus sistemas. Sin embargo, los autos suelen ser utilizados por diez o más años, lo que dificultaría la solución de una eventual vulnerabilidad dada la cantidad de modelos que aparecerían en ese lapso. Aunque es posible implementar un ciclo de actualizaciones para solucionar estas fallas, cualquier inconveniente que ocurra durante ese proceso podría traer serias consecuencias.
En términos generales, la industria automotriz parece estar optando por la tendencia de desarrollar interfaces de sólo lectura más que de lectura y escritura, en donde el automóvil se limita a reportar información, lo que dificultaría el accionar de un sujeto que por ejemplo, conecta un teclado, inicia sesión como administrador y luego instala aplicaciones maliciosas. Pese a que este parece un punto a favor en contra de la posible problemática que planteamos en este post, aún existe la posibilidad que mediante tecnología inalámbrica utilizada para la descarga de datos, se baje algo más que información.
¿Veremos una solución de ESET diseñada para automóviles? No podemos ni asegurar o refutar dicha pregunta, todavía es muy temprano para eso. Esperemos que un buen diseño del fabricante minimice o elimine esa necesidad. Por otro lado, autos con capacidades informáticas más avanzadas ciertamente abren una nueva posibilidad para que individuos inescrupulosos utilicen información personalizada proveniente del automóvil para desarrollar tácticas de Ingeniería Social más personalizadas. También, es posible que se comience a utilizar esta información no con fines delictuales, pero sí comerciales y de marketing. Por ejemplo, un dueño de una tienda que es capaz de determinar cuántas veces pasa un automovilista por la misma podría utilizar esa información para enviarle un mensaje publicitario acorde.
Esperemos que los fabricantes de automóviles participen en conjunto con la industria de la seguridad informática para poder intercambiar ideas y de esta forma, poder minimizar considerablemente la posibilidad que esta tecnología sea utilizada por ciberdelincuentes para obtener algún tipo de rédito. Si esto llegase a fallar, podría ser una buena idea optar por un auto clásico que carezca de dicha tecnología o algún otro tipo de transporte como una bicicleta que además de no contaminar y hacer bien para la salud, es poco probable que la misma se transforme en blanco de cibercriminales.
Traducido y adaptado por:
André Goujon
Especialista de Awareness & Research
