Aplicaciones para automóviles: ¿quién tiene las llaves de tu coche?

La mayoría de las aplicaciones de terceros para coches requieren un acceso a tu cuenta. ¿Es seguro?

La tecnología ha avanzado tanto que, hoy en día, cualquier coche moderno es un ordenador sobre ruedas y muchos de ellos están conectados a Internet. Por eso, además de los propios vehículos, los fabricantes de automóviles están desarrollando aplicaciones para controlarlos a distancia y hacernos la vida más fácil: puedes comprobar la ubicación del coche, encender la calefacción o el aire acondicionado previamente, bloquear y desbloquear las puertas, etc.

Sin embargo, los usuarios tienen necesidades muy diferentes y no es posible reunir todas las funciones en una sola aplicación. Por ello, además del software de los fabricantes de automóviles, han aparecido aplicaciones de terceros de todos los colores. Claro, son cómodas y útiles. ¿Pero son seguras? Nuestros expertos decidieron investigar un poco…

¿Quién conduce tu coche?

Para que el coche sepa que eres tú quien utiliza la aplicación, tienes que introducir un nombre de usuario y una contraseña. La aplicación oficial del propio fabricante tiene la ventaja de que tus credenciales no se transmiten a terceros. Además, los fabricantes de coches deben cumplir con las normas de seguridad de sus productos.

Si eliges una aplicación de terceros con algunas características concretas con las que no cuente la versión oficial, esta, de alguna manera, necesita acceso al vehículo o a sus datos de telemetría. Algunas aplicaciones ofrecen soluciones especialmente desarrolladas por el fabricante de automóviles para este fin, que no requieren tus credenciales y tienen un acceso limitado al vehículo, lo que te permite utilizar sus funciones, pero les impide llevar a cabo acciones que podrían ser peligrosas como desbloquear las puertas. Estas aplicaciones son más o menos seguras, pero se pueden contar, casi, con los dedos de una mano.

La mayoría de las aplicaciones que se conectan a un coche requieren del nombre de usuario y la contraseña de tu cuenta con el fabricante; es decir, tienen un acceso completo a tu cuenta. Además, los requisitos de seguridad que se aplican a los fabricantes de automóviles no se extienden a estas apps, y aquí es donde surge el problema.

La confianza lo es todo

El estudio se centra en las aplicaciones móviles de terceros que utilizan la cuenta del propietario del vehículo con el fabricante. Por desgracia, más de la mitad de los desarrolladores de aplicaciones no advierten de los riesgos de facilitar el acceso a la cuenta. Los que sí advierten a los usuarios, aseguran que o bien no almacenan las credenciales en ningún lado, o bien las almacenan de forma cifrada. Algunos subrayan que el nombre de usuario y la contraseña solo son necesarios para obtener un código de autorización. Sin embargo, un código permite a cualquier persona utilizar la cuenta en tu nombre, de igual forma que con tus credenciales de acceso, y también podría filtrarse si se almacena de forma inadecuada. Además, no hay forma de comprobar cómo se manejan realmente tus credenciales: o confías en los desarrolladores o no utilizas la aplicación.

Además, los desarrolladores del 14 % de las aplicaciones que nuestros investigadores han estudiado han sido, misteriosamente, imposibles de contactar en caso de un problema: los datos de contacto en sus sitios web eran erróneos o dirigían a perfiles de redes sociales eliminados.

Es una situación parecida a la de los servicios web: el usuario entrega sus credenciales sin saber a ciencia cierta cómo serán almacenadas y procesadas. Las soluciones de código abierto son más transparentes en este sentido: los usuarios con conocimientos técnicos pueden, al menos estudiar el código. Sin embargo, para la gente que no tiene estas habilidades, será muy difícil entenderlo.

Otro problema es que también existen servicios de intermediarios que conectan los sistemas del fabricante de automóviles con aplicaciones de terceros. Los desarrolladores de aplicaciones para automóviles y servicios web son conscientes de lo que utilizan, pero puede que los usuarios no tengan ni idea de ello. Y es importante entender que, si la aplicación para automóviles de terceros que has elegido funciona a través de un servicio intermediario, los desarrolladores de ambos pueden hacerse con tus credenciales.

Aplicaciones de terceros que acceden a tu coche: ¿cuál es el riesgo?

Si tus datos no están bien guardados, los intrusos pueden acceder a ellos. Seguramente no te robarán el coche, pero pueden controlar a distancia algunos sistemas: puertas, ventanas, climatización, claxon, faros, etc. Si un intruso empieza a tocar el claxon o a encender las luces de forma aleatoria mientras conduces, además de molestar, puede llegar a ser peligroso.

Esto nos lleva a imaginarnos una escena tipo James Bond: ¿quién demonios querría acabar contigo de una manera tan elaborada? Pero si esos datos se filtraran al dominio público, podrían caer en manos de personas equivocadas de cualquier parte del mundo. La mayoría de ellas solo quieren divertirse, pero no se dan cuenta de las consecuencias que sus actos podrían tener.

Además, si una aplicación es hackeada, los atacantes tendrán acceso a todos los datos recogidos, incluida la geolocalización. Y esto puede utilizarse para rastrear los movimientos de los propietarios de los coches, de nuevo, desde cualquier parte del mundo.

Un ejemplo reciente de esto viene de parte del experto en seguridad David Colombo de 19 años. Este joven descubrió por casualidad una vulnerabilidad en la aplicación TeslaMate que recoge, almacena y visualiza los datos de telemetría de los vehículos Tesla. Colombo consiguió averiguar dónde vivían los propietarios de los coches, por dónde conducían, a qué velocidad, dónde estaban aparcados los vehículos, dónde se cargaban y qué configuraciones estaban instaladas en esos coches.

Aunque la aplicación en sí estaba diseñada solo para recopilar datos y no para controlar el coche, Colombo consiguió hacer precisamente eso. Y todo porque el almacenamiento que contenía las credenciales del usuario era accesible con la contraseña por defecto, mientras que parte de la información podía recuperarse sin ninguna autorización. Colombo informó del problema a los desarrolladores de la aplicación y estos lo solucionaron con cierta rapidez. A pesar del final feliz, la moraleja de esta historia es, que las aplicaciones de terceros para el coche pueden no ser tan fiables como afirman sus desarrolladores.

¿Debería dejar de usar aplicaciones de terceros?

Este artículo no pretende decir que las aplicaciones de terceros no deban utilizarse bajo ningún concepto. No todos los desarrolladores ignoran la seguridad de los datos de los usuarios. Como hemos visto, los creadores de TeslaMate respondieron con bastante rapidez al informe de vulnerabilidad y solucionaron el problema. Y, por supuesto, hay aplicaciones que no requieren de un acceso completo a tu cuenta con el fabricante de automóviles.

Si quieres utilizar funciones no disponibles en la aplicación oficial de tu vehículo, ten cuidado a la hora de elegir: si es posible, elige una aplicación de un desarrollador fiable, transparente y que, como mínimo, no oculte sus datos de contacto. Busca informes de expertos en seguridad y opiniones de usuarios expertos en tecnología que entiendan cómo funciona y cuáles son los riesgos a tener en cuenta.

Y, si ya estás utilizando una aplicación de terceros y quieres dejar de hacerlo, ten en cuenta que desinstalarla de tu smartphone puede no ser suficiente…

  • Comprueba si también tienes que darte de baja o eliminar tu cuenta con ese servicio.
  • Cambia la contraseña de tu cuenta con el fabricante de automóviles. Más vale prevenir.
  • Si es posible, bloquea el acceso de la aplicación a tu cuenta a través del sitio web del fabricante o del servicio técnico.
Consejos