¿Quien conduce de verdad tu coche?

Sin Acritud…
Claudio Chifa (10/12/2017)
El internet de las cosas (IoT), responsable de conectar cosas impensables, ahora ofrece la posibilidad de conectar vehículos a internet. Con esto se obtienen grandes ventajas, entre otras, aumentar la seguridad de quienes están en su interior al proveer de información en tiempo real del estado del tráfico, incidencias en carreteras, riesgos climatológicos y cualquier tipo de dato relevante para nuestra seguridad y confort.

En muchos países las aseguradoras desde hace años exigen un sistema de GPS (posicionamiento vía satélite) integrado al vehículo para poder asegurarlo. A día de hoy ya no hablamos del GPS que se conecta a un teléfono o red móvil, si no todo el vehículo. Tener el vehículo totalmente conectado implica que si detectamos que alguien lo ha robado podamos apagarlo de forma inmediata o si por algún motivo nos vemos incapaces de seguir conduciendo el coche, alguna persona de confianza, remotamente pueda hacerlo mientras el conductor se recupera, siendo posible con los nuevos avances, que el coche pueda ir de forma autónoma hasta el refugio más próximo u hospital en caso de emergencia.

Pero como todo lo conectado a internet, una mala configuración de seguridad o mala programación de los dispositivos abre la posibilidad de sufrir un ataque que alteren las funciones del vehículo, obteniendo el control del mismo de forma remota, realizar un secuestro o robo a distancia, bloquear las puertas o inmovilizar el vehículo en medio de una carretera.

En internet un investigador puede encontrarse cerca de cuarenta millones de vehículos industriales, los cuales se pueden localizar y controlar en tiempo real sin necesidad de conocimientos avanzados debido a su mala configuración. Estamos hablando de dispositivos que no requieren un usuario y contraseña para conectarnos a ellos y controlarlos de forma remota. Por razones de seguridad no podemos ofrecer mayores detalles sobre estos vehículos, pero si algún investigador se siente interesado por este tema, siempre podemos debatirlo.

Las compañías de seguros cobran sus pólizas fijando los precios de acuerdo a estadísticas, edad del conductor, color del vehículo, antigüedad del carnet de conducir y género del conductor entre otros datos. Pero todos esos patrones a considerar pierden valor si pensamos en los nuevos riesgos que se generan a la hora de conectar nuestros vehículos a internet. Las implicaciones de que los vehículos sufran ciberataques son amplias, y parece que ningún seguro ha tomado medidas al respecto, ni valoran este tipo de información a la hora de otorgar una póliza.

Las ventajas de conectar un vehículo a internet son muy amplias, pero debemos ser capaces de minimizar los riesgos asociados y hacerlos menos atractivos a atacantes con el fin de maximizar la seguridad del conductor, acompañantes, viandantes, otros conductores y el proprio vehículo.

Debemos de ser conscientes de los riesgos asociados y poner medios para garantizar un nivel de seguridad óptimo.

Citando a PhD Jesus Friginal, existe claramente “la necesidad de formalizar y ejecutar los test funcionales y no funcionales que un sistema necesita para ser válido. Un test funcional no sólo debe demostrar que un sistema hace lo que debe, sino que NO hace lo que NO debe. Un test no funcional debe comprobar que el sistema funcionará en condiciones límite de stress, seguridad, etc., llevando al sistema a un estado conocido y controlado ante cualquier eventualidad.”

Mi agradecimiento a Antonio Fernández, Responsable de Auditoría Técnica y Pentest en SCASSI y a Damián Fernández Ingeniero de ciberseguridad (SCASSI Spain).

N. de la R.
Claudio Chifa es experto en ciberseguridad y Perito Informático, con más de 15 años de experiencia y reconocidas certificaciones a sus espaldas.