Internet

Los coches conectados pueden no ser seguros para los usuarios


    Los coches conectados abren la puerta a amenazas que ya existían en el mundo del PC y de los 'smartphones', y los riesgos que pueden sufrir los usuarios son robos de contraseñas, apertura de puertas, acceso a servicios remotos, localización del coche o incluso control físico del mismo, según el analista senior de 'malware' de Kaspersky Lab, Vicente Díaz.

    MADRID, 4 (Portaltic/EP)

    Kaspersky Lab ha patrocinado el Primer Estudio de Coches Conectados realizado por IAB Spain, la Asociación que representa al sector de la publicidad, el marketing y la comunicación digital en España, un trabajo de investigación pionero en el mundo. El estudio ha sido elaborado junto con Applicantes y Periodismo del Motor.com, además de Kaspersky Lab.

    El principal objetivo de este estudio es ofrecer una perspectiva de la situación del coche conectado en España, aunando toda la información disponible en el mercado, resolviendo las preguntas frecuentes y comprendiendo la alta fragmentación existente entre los fabricantes.

    En un coche conectado, no se pueden obviar cuestiones relacionadas con la seguridad en las comunicaciones y servicios derivados de Internet y que se incluyen en la nueva generación de coches "conectados". No estamos hablando ahora de asistencia al aparcamiento, sino de acceso a redes sociales, correo electrónico, conectividad con el smartphone, cálculo de rutas, aplicaciones que se ejecutan en el coche, etc.

    La inclusión de estas tecnologías implica una serie de ventajas, pero también de nuevos riesgos a los que el usuario no tenía que hacer frente hasta ahora. Por ese motivo, es necesario analizar los distintos vectores que pueden provocar un posible ataque o fraude e incluso algún incidente en el funcionamiento del vehículo.

    La prueba de concepto realizada por Kaspersky Lab, basada en el análisis del sistema BMW ConnectionDrive en concreto, ha encontrado distintos vectores de ataque potenciales, tales como robo de credenciales, aplicación móvil, actualizaciones, comunicaciones y actualizaciones, entre otros.

    El robo de credenciales de usuario para acceso al portal de BMW, ya sea mediante phishing, keyloggers o ingeniería social, permitiría a un tercero acceder a información del usuario y del vehículo. A partir de aquí se podría instalar la aplicación para móvil con estas mismas credenciales que, en caso de tener activados los servicios remotos, podría permitir activar la apertura de puertas por ejemplo.

    En caso de tener los servicios de apertura remota activados el móvil se convierte en las llaves. Si la aplicación no está bien securizada, podría ser un vector de ataque en caso de robo del teléfono. En este caso, parece que es posible modificar la base de datos de la aplicación para evitar la autenticación PIN, por lo que un atacante podría evitarla y activar los servicios remotos.

    El proceso de actualización de los drivers bluetooth es a partir de la descarga de un archivo desde la web de BMW que posteriormente instalaremos en el coche mediante un USB. Este archivo no está cifrado ni firmado, y es posible encontrar dentro del mismo mucha información interna del sistema que se ejecuta en el vehículo. Esto daría a un atacante potencial con acceso físico la posibilidad de conocer el entorno atacado. También parece que podría modificarse la actualización para ejecutar código malicioso.

    Algunas funciones se comunican con la SIM interna del vehículo mediante mensajes SMS. Estos mensajes se pueden llegar a descifrar y enviar haciéndose pasar por otro remitente, en función del cifrado de la operadora. En el peor de los casos se podría reemplazar a BMW para la comunicación de ciertos servicios.

    El estudio también incluye un análisis de la conectividad online y las apps de los principales fabricantes de automóviles en España. Asimismo, se desglosa el modelo de negocio y las futuras tendencias en cuanto a plataformas de conectividad en el mercado.

    Las principales concusiones, tras analizar 21 modelos de vehículos distintos, las principales conclusiones del informe son que hay una alta fragmentación de sistemas operativos, modos de conexión y 'apps', que muchos fabricantes ofrecen una suscripción gratuita durante un tiempo determinado y que muchos de los servicios 'online' necesitan de cobertura 3G para funcionar con normalidad.

    También han concluido que el consumo de datos puede obligar al usuario a contratar una tarifa adicional y que la mayoría de los modelos usan asistentes vocales, dado que es uno de los modos más seguros de controlar la oferta de conectividad que ofrecen los fabricantes.