El hackeo a un vehículo Tesla evidencia los riesgos de seguridad en los coches conectados
Un grupo de hackers chinos ha conseguido controlar de forma remota la apertura y cierre de puertas, luces, claxon y techo solar del coche modelo Tesla Model S.
Este ataque se ha producido en el marco de la conferencia SyScan +360, donde el equipo de hackers ha logrado demostrar la vulnerabilidad de una tecnología en la que “todavía queda mucho trabajo por hacer, sobre todo en materia de seguridad, antes de que se convierta en una tecnología habitual”, según Vicente Díaz, Principal Security Analyst de Kaspersky Lab.
El método utilizado por los hackers que han conseguido controlar este Tesla de forma remota se basa en romper el código de seis dígitos de la app móvil del vehículo fabricado por Tesla Motors. Esta aplicación, disponible para Android e iOS, ofrece a los usuarios de este modelo funciones que pueden ejecutarse a distancia o de forma remota como abrir o cerrar las puertas y localizar el vehículo en el mapa.
“La inclusión de estas tecnologías implica una serie de ventajas, pero también de nuevos riesgos a los que el usuario no tenía que hacer frente hasta ahora”, afirma Díaz. “Los riesgos que pueden sufrir los usuarios de los coches conectados van desde el robo de contraseñas, apertura de puertas, acceso a servicios remotos, localización del coche e incluso el control físico del vehículo».
El equipo de seguridad de Kaspersky ofrece una serie de indicaciones para los usuarios de este nuevo concepto de vehículo, con el objetivo de evitar los peligros que pueden derivar de la conectividad en el coche:
- El smartphone es el dispositivo desde el que se gestionan la mayoría de las aplicaciones de los coches por lo que hay que tener cuidado con la contraseña elegida para acceder desde el teléfono al sistema, pues éste es la llave del mismo. La elección de una mala pregunta/contraseña puede hacer que alguien que se haga con el control del teléfono pueda abrir las puertas, conocer el status del vehículo, encender y apagar las luces, hacer sonar el claxon, activar la climatización… e incluso localizar el coche en el mapa.
- Cuidado con las apps que descargamos para el coche. Las tiendas de aplicaciones para los dispositivos móviles incluyen algunas defectuosas y apps maliciosas que pueden hacerse con el control del dispositivo y acceder a toda nuestra información, por lo que podría ser un vector de ataque con el que incluso podrían controlar el coche a distancia.
- Otras amenazas pueden venir a través de las webs de las marcas de coches que ofrecen actualizaciones del software para los sistemas de conectividad, ya que los cibercriminales podrían crear una actualización falsa y maliciosa que fuera distribuida mediante ingeniería social.
[smartads]
- El robo de credenciales de usuario para acceder a los sistemas de conectividad, ya sea mediante phishing, keyloggers o ingeniería social, posibilitaría a los ciberdelincuentes acceder a datos personales del usuario y del vehículo, como la posición, las rutas seguidas, los restaurantes consultados en la red… En definitiva, datos de carácter personal que podrían ser aprovechados por los spammers para enviar publicidad de forma masiva o por personas u organismos que deseen invadir la intimidad del dueño del vehículo.
- El riesgo de fisuras en la privacidad de datos también puede venir de la mano de la compartición de datos acerca de nuestra actividad en el vehículo con terceros. Además, actualizar siempre los sistemas operativos con las últimas versiones e instalar una solución de seguridad en todos los dispositivos que interaccionen con el coche conectado es fundamental.
