Los 5 problemas de seguridad de los coches conectados.

En los últimos años una nueva moda tendencia ha venido consolidándose en el mundo del motor y parece que ha llegado para quedarse.

Hablamos de los vehículos con acceso a internet. Vehículos que aparte de realizar su función nos ofrecen conexión a internet, información del tráfico en tiempo real, nos leen el correo, consultan nuestras redes sociales, podemos abrir nuestro coche desde el smartphone y así un largo etcétera.

Pasamos de llevar el telefóno conectado, que suponía en no va más hace unos años, a que nuestro coche particular sea un “ordenador con ruedas” si me permitís la expresión.

El avance nunca es algo negativo pero el problema es que “la conectividad incluye no solo sistemas de información y navegación, sino también aquellas aplicaciones críticas para vehículos, como el cierre de puertas o el sistema de arranque, a los que ahora ya es posible acceder online” y en este caso no hablamos de datos personales en riesgo o fugas de información sino que lo que está en juego es nuestra vida, ni más ni menos.

Los analistas de ciberseguridad de Kaspersky Lab, a quienes hay que atribuirles la frase entrecomillada del párrafo anterior, han analizado siete aplicaciones de control remoto de automóviles desarrolladas por los propios fabricantes de automóviles que están disponibles para descargar en Google Play y cuentan con millones de descargas.

En ellas han encontrado los siguientes problemas de seguridad:

1. Carecen de protección contra la ingeniería inversa.

Se pueden buscar vulnerabilidades que den acceso a la infraestructura del servidor o al sistema multimedia del coche.

2. No tienen comprobación de la integridad del código.

Por lo que se deja la puerta abierta a que los ciberdelincuentes modifiquen el código e introduzcan el suyo propio para añadir funciones maliciosas, reemplazando el programa original por uno falso.

3. No existe una técnica de detección de rooteo.

Y en caso de conseguirlo, los privilegios root ofrecen una lista infinita de posibilidades que hacen que la aplicación este completamente indefensa.

4. Falta de protección contra técnicas de superposición.

Con ello podemos encontrarnos que el vehículo nos pida introducir nuestros datos y en vez de la aplicación legítima nos encontremos un phising en la pantalla multimedia de nuestro coche.

5. Datos de acceso almacenados en texto plano.

Una técnica poco muy poco segura que permite a los ciberdelincuentes robar los datos del usuario de forma relativamente sencilla.

En el caso de España este almacenamiento de las contraseñas en texto plano contraviene lo que indica el artículo 93.4 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal:

“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible”.

En definitiva, queda patente que el trío conductor-vehículo-internet ha llegado para quedarse por lo que las companías automovilisticas se verán obligadas a destinar una parte importante de sus recursos a la ciberseguridad.

¿Antivirus de serie en los vehículos? Únicamente el tiempo lo dirá.