27 Jul 2017

¿Hackeando un lavadero de coches?

Proyecto especial

Justo cuando creías haber oído de todo respecto al hackeo de dispositivos conectados, llega Black Hat y te hace reconsiderar lo que creías que era posible de hackear.

Seguramente lo primero que te venga a la mente sean los últimos wearables IdC conectados o algo como las Google Glass, ambas buenas suposiciones, pero no correctas. Es muy probable que nunca lo adivines, pero esperaremos a que vuelvas a leer el título de este artículo.

Los investigadores Billy Rios y Jonathan Butts descubrieron que los lavaderos de coches podían ser hackeados. Ya lo sé, no suena tan emocionante, pero los investigadores también se dieron cuenta de la posibilidad de haber descubierto el primer exploit que podría causar daños físicos a una persona. [Nota del editor: Los hackers del Jeep podrían no estar de acuerdo].

Los investigadores analizaron el sistema de LaserWash después de haber escuchado que una máquina desconfigurada había golpeado a un coche con un brazo mecánico, mojando a las personas que había en su interior.

Al igual que muchos dispositivos IdC y máquinas, los lavaderos de coches pueden entrar en el listado de las “cosas que no creías que tuvieran que estar conectadas a Internet”. Y, como muchos otros dispositivos, las contraseñas de LaserWash eran las que venían por defecto y muy fáciles de adivinar, según los investigadores.

Una vez dentro del sistema, los investigadores pudieron encontrar áreas de manipulación, incluyendo la apertura y el cierre de las puertas, rociar agua y desactivar los sensores de infrarrojos. Esto puede parecer inofensivo, pero los investigadores también mostraron un vídeo en el que provocaron el choque de una de las puertas con un coche, lo cual podría causarle daños severos al coche o a los que estén en su interior. Si los hackers fueran más atrevidos, podrían enviar un correo electrónico en el que detallaran el accidente o publicarlo directamente en Facebook.

La función de correo electrónico podría ser útil para los dueños del negocio y para los técnicos, pues podrían hacer un seguimiento de los problemas y de los usos del lavadero. Todavía no logro entender por qué un autolavado tendría que poder publicar en Facebook.

Los investigadores también descubrieron que, aunque le comunicaran la vulnerabilidad al fabricante, no existía un parche a la fecha del Black Hat 2017.

El trabajo de Rios y Butts destaca la necesidad de cambiar las contraseñas que vienen por defecto y la necesidad de pensarlo dos veces antes de conectar un dispositivo a Internet. Aunque esto fue una prueba en un sistema benigno, un lavadero es un minisistema de control industrial que, si se usa inapropiadamente, puede infligir dolor y sufrimiento a gente inocente.

Hackear la electricidad, el agua y la comida

Espero que este termine siendo el hackeo más raro de la semana. Pero, como dicen, Lo que pasa en Las Vegas… bueno, olvídalo, te contaremos más en Kaspersky Daily y lo compartiremos en Facebook.