.

Computación

Cómo robar un Volkswagen con un portátil y un sistema electrónico de 40 euros

1

Un nuevo fallo de seguridad en sus vehículos posteriores a 1995 y una serie de robos de Jeep sugieren que la industria no está poniendo suficiente atención a la ciberseguridad frente a hackers

  • por Jamie Condliffe | traducido por Teresa Woods
  • 07 Septiembre, 2016

Para robar un coche ya no hace falta una palanca y conocimientos eléctricos para hacerle el puente. Cada vez más, parece que lo único que necesita el criminal es un portátil.

Los hackers han demostrado que pueden tomar el control de un Jeep Cherokee en remoto mientras otra persona lo conduce. Eso significa que podrían, al menos en teoría, detener el motor y bloquear los frenos mientras el coche está en marcha. Y ahora los propietarios se enfrentan a un problema aún más grave que es incluso más atractivo para los criminales: el robo tecnológico.

Este año, se publicó un vídeo en internet que mostró cómo un par de ladrones de coches emplearon un portátil para robar un Jeep Wrangler de 2010. El ataque que realizaron no ha sido descrito en detalle, aunque se cree que no guarda relación con otro ataque dirigido a un Jeep Cherokee el año pasado. La técnica del crimen requiere que los criminales abran el coche y conecten físicamente los sistemas internos del vehículo a un ordenador (no está claro mediante qué tipo de interfaz). Pero una vez dentro, los ladrones pueden arrancar el coche sin llaves ni puentes.


Crédito: Joe Raedle (Getty Images).

De momento les está yendo bastante bien. Autoblog informa de que un par de hackers fueron detenidos recientemente en Houston (EEUU), por emplear esta táctica para robar más de 30 Jeeps durante un periodo de seis meses. Se cree que Fiat Chrysler Automobiles, la empresa matriz de Jeep, está investigando más de 100 robos perpetrados recientemente mediante métodos similares.

Esas cifras podrían seguir subiendo, mucho más. Unos informáticos de la Universidad de Birmingham (Reino Unido) han publicado los detalles de un nuevo ataque inalámbrico que puede ser empleado para abrir casi cualquier modelo que haya vendido el grupo Volkswagen desde 1995. Su técnica se puede ejecutar con un portátil y una radio definida por software o un conjunto de componentes eléctricos listos para usar que cuestan menos de 40 euros. Gracias a ella, es posible imitar las señales de desbloqueo enviadas por la llave electrónica del conductor.

El equipo explicó a Wired que realizó una ingeniería inversa del código de los sistemas de seguridad de Volkswagen para identificar las claves criptográficas utilizadas para codificar estas señales de desbloqueo de puertas. Para su sorpresa, el equipo encontró que para 100 millones de vehículos solo habían sido necesarias cuatro llaves criptográficas distintas. Después de capturar otra clave criptográfica de las señales enviadas mientras un conductor desbloquea las puertas del vehículo, los investigadores pueden combinar los dos números para desbloquear el vehículo objetivo sin más.

El equipo señala que algunos de los últimos vehículos de Volkswagen, incluido el Golf 7, emplean un sistema de seguridad más robusto, en el que ambas llaves criptográficas son únicas para cada vehículo.

Los criminales también han de encontrarse físicamente en un radio inferior a 100 metros del vehículo que quieran robar. Pero dado que el fallo afecta a casi todos los coches vendidos por el grupo Volkswagen durante los últimos 20 años, incluidos los que fueron fabricados por Audi y Škoda, sigue representando un problema importante.

Los detalles de la ingeniería inversa del estudio no se han publicado aún, pero podemos apostar a que los demás criminales andan a la caza de estos secretos por su cuenta.

Cada vez más, los coches están siendo desarrollados por ingenieros de software además de ingenieros mecánicos. A medida que los vehículos se van informatizando y conectando, la amenaza que presentan los fallos informáticos aumenta. Aunque ninguno de los ataques recientes se aprovecha de la conexión a internet del coche, resulta sencillo imaginar otros problemas similares pero más graves que también podrían afectar a los vehículos (como la flota de Tesla, por ejemplo) que empleen redes móviles para acceder a datos y actualizaciones de la red.

Las automovilísticas parecen estarse tomando el asunto en serio. La CEO de General Motors, Mary Barra, dijo recientemente que los ciberincidentes automovilísticos son "una cuestión de seguridad pública" y explicó que "tanto si se trata de phishing como spyware o ransomware, los ataques se están volviendo cada día más sofisticados". La Alianza de Fabricantes Automovilísticos y la Asociación Global de Automovilísticas también han publicado nuevas mejores prácticas para la seguridad automovilística que incluyen recomendaciones sobre las vulnerabilidades digitales. Pero la industria automovilística se mueve a un ritmo muy distinto al sector tecnológico, y los coches que están a punto de salir de las líneas de producción probablemente seguirán siendo vulnerables a los ciberataques durante bastante tiempo.

Aún no está claro qué harán Fiat Chrysler y Volkswagen acerca de los fallos que exponen sus vehículos a un mayor riesgo de robo. El ciberataque remoto al Jeep Cherokee del año pasado provocó la retirada de 1,4 millones de vehículos. No será el último.

(Para saber más: Wired, Autoblog, ¿Quién conducirá el coche del futuro?Chrysler’s Recall of Hackable Cars Won’t Be the Last, El hackeo de los frenos de un Jeep aumenta los esfuerzos por la ciberseguridad de los coches)

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. Dentro de los algoritmos (cada vez más complejos) que llevan los paquetes a la puerta de casa

    Puede que todavía no haya robots que entreguen los paquetes a domicilio, pero la inteligencia artificial ya está muy presente en todo lo que pedimos y nos traen por internet

    Modelo de vehículos con líneas y ruedas
  2. Ningún criminal está a salvo en Bitcoin (pero sí en otros sistemas de criptomoneda)

    Cada vez hay más empresas capaces de analizar los datos de la cadena de bloques para rastrear el dinero hasta dar con la identidad de los delincuentes. Pero han aparecido otros sistemas que sí les permiten esconderse

  3. "Ninguna gran empresa integraría sus operaciones en otra cadena que no fuera Bitcoin"

    El CEO de la 'start-up' Blockchain of Things, Andre de Castro, considera que 'blockchain' es imprescindible para que las compañías establezcan canales de comunicación descentralizados y seguros, una parte más del proceso de transformación digital