Que existe una clara tendencia a incorporar cada vez más opciones en los automóviles está claro. Tan solo debemos pasearnos por las ferias del automóvil o las de electrónica de consumo para ver una convergencia entre el mundo del automóvil y el de la tecnología que tan solo podríamos soñar hasta no hace tanto.
Tecnología y ¿seguridad?
Está claro que todo avance tecnológico que suponga un avance en la forma en la que utilizamos nuestros automóviles es bienvenida pero, por desgracia, muchos de estos avances no tienen en cuenta (o no tanto como deberían) ciertos aspectos críticos como la seguridad. Y no, no nos referimos a la seguridad física con sus airbags, cinturones y diseños de coches que se deforman de tal forma que mitigan los posibles daños al conductor y a sus ocupantes.
Los que trabajamos en seguridad informática sabemos que, con el creciente auge del Internet de las cosas, cada vez son más los dispositivos que se conectan entre sí y se abren nuevos vectores de ataque. Si este dispositivo es un automóvil la cosa empieza a preocuparnos sobremanera, teniendo en cuenta además que investigadores como Charlie Miller y otros más cercanos llevan años demostrando las vulnerabilidades existentes.
BMW y la vulnerabilidad en sus coches
Es por eso que no nos sorprende la noticia de que BMW haya tenido que actualizar el software que controla más de dos millones de coches entre los que encontramos los de la propia BMW, Mini y Rolls-Royce. Todo ese esfuerzo por culpa de una vulnerabilidad encontrada y que podría permitir a un atacante abrir el automóvil.
Este caso guarda similitud con los informes de vulnerabilidades que se realizan constantemente en el mundo del software. En esta ocasión fueron investigadores de la asociación ADAC alemana quienes encontraron un fallo de seguridad en aquellos automóviles que contaban con el software ConnectedDrive y están equipados con una tarjeta SIM propia.
¿Y qué hace este software exactamente? Pues algo que está poniéndose de moda entre muchos fabricante y no solo entre aquellos modelos de gama alta. Este software permite controlar algunas funciones de nuestro automóvil desde el smartphone. Controlar remotamente la apertura o cierre de nuestro vehículo y otras funciones como la calefacción o las luces debe de ser algo muy práctico para algunos usuarios, sin duda, pero también hace que aparezcan fallos de seguridad como el que hoy comentamos.
El fallo se encontraba precisamente en el sistema de comunicación entre el smartphone y el vehículo, comunicación que podría llegar a ser interceptada por un atacante y utilizarla para enviar órdenes al automóvil sin ser el propietario. Por suerte, esto solo afectaba a los sistemas menos críticos y lo peor que podría pasar es que el atacante utilizase esta técnica para abrir las puertas o bajar las ventanas del coche.
Fallo solucionado de forma remota
Además de controlarse remotamente desde el smartphone del usuario, ConnectedDrive permite la apertura remota del automóvil desde los servidores de BMW en caso de que el conductor no pudiera acceder o salir por alguna avería. Esta conectividad es la que ha permitido a BMW parchear la vulnerabilidad de forma similar a cuando se lanza una actualización a nuestros smartphones desde la operadora.
Sin embargo, ahora la duda que se nos plantea es mayor. ¿Qué datos pueden estar recopilando fabricantes de coches que implementan sistemas similares? Y no solo los fabricantes, ¿alguien dijo aseguradoras? Imaginemos por un momento que toda la información que recopilan los múltiples sensores instalados en nuestro vehículo y que dicen mucho sobre nuestra manera de conducir son recopilados y enviados a no se sabe dónde para después compartirlos con empresas interesadas. Un usuario con una conducción ligeramente más agresiva que la media podría verse penalizado con un aumento en su póliza de seguro a pesar de no haberse visto implicado en ningún accidente.
Conclusión
La seguridad lógica (que no la física, aunque también pueden verse afectada) de nuestros automóviles es algo que debe tratarse a la par que aumentan las opciones de conectividad ofrecidas por los fabricantes. En mi caso en particular, no hace mucho estuve valorando la posibilidad de cambiar de automóvil y me sorprendí al ver que hay utilitarios económicos que incorporan un sistema similar (aunque con menos opciones) al de los vehículos BMW de alta gama.
Incluso, en uno de los modelos que estuve valorando se permitía incluir mediante tarjeta SIM y conectividad 3G la descarga de aplicaciones desde los servidores del fabricante, como si de un smartphone se tratase. Sé que las posibilidades de que los posibles fallos que aparezcan sean explotados por atacantes son remotas, pero tras haber asistido a varias charlas tratando estos temas prefiero no arriesgarme y ofrecer vectores de ataque adicionales en algo tan delicado como es un automóvil. Llamadme paranoico si queréis…
Créditos de la foto: amateur photography by michel / Foter / CC BY