IdC
Los especialistas en seguridad de la información de Pen Test Partners han secuestrado un coche utilizando su sistema de alarma. Además, los sistemas de seguridad hackeados por los investigadores, Pandora y Viper SmartStart, se encuentran entre los más utilizados, de hecho, se estima que están instalados en más de 3 millones de coches.
Cómodos, sí, pero ¿son seguros?
En teoría, los sistemas de antirrobo inteligente son mucho más que alarmas. Pueden prestar asistencia, aunque ya te hayan robado el vehículo. Por ejemplo, mediante una aplicación de tu smartphone, puedes rastrearlo, desconectar el motor y bloquear las puertas antes de que llegue la policía. Este sistema es muy cómodo, ¿verdad? Además, según los fabricantes, mejora considerablemente la seguridad del coche.
El problema es que no solo pueden robar tu coche.
Tras hackear tu cuenta e iniciar sesión en la aplicación, un ciberdelincuente consigue acceder a una gran cantidad de datos y a todas las funciones de la alarma inteligente, es más, con tan solo cambiar la contraseña, te dejará fuera del sistema. Por lo que podrá:
- Rastrear los movimientos del vehículo.
- Activar y desactivar el sistema de alarma.
- Bloquear y desbloquear las puertas.
- Activar y desactivar el inmovilizador, una herramienta antirrobo que evita que el motor arranque.
- Desconectar el motor, incluso con el coche en movimiento.
En el caso de las alarmas Pandora, el ciberdelincuente incluso puede escuchar las conversaciones que tengan lugar dentro del vehículo con el micrófono del sistema antirrobo, que se supone que sirve para llamadas de emergencia. Por cierto, recuerda que no puedes hacer nada, solo el atacante tiene acceso al sistema. Ya no suena tan bien, ¿verdad?
Secuestro inteligente en tan solo unos segundos
El equipo de investigación descubrió que secuestrar la cuenta de usuario de una alarma inteligente no solo es posible, sino que es más sencillo de lo que aparece. Para robar una cuenta Viper o Pandora, ni siquiera necesitas comprar la alarma (unos 5000 dólares). Cuando se realizó el estudio, bastaba con registrar una cuenta en la página web o en la aplicación para acceder al sistema y utilizarla para conseguir acceso a otra cuenta.
Los problemas son similares en ambos sistemas, según la forma en la que aplicación interactúa con el servidor, pero el mecanismo de ataque es algo diferente. En el caso de Viper, el intruso puede cambiar las credenciales de cualquier usuario con tan solo enviar una solicitud especial al servidor donde se almacenan los datos.
El sistema Pandora es un poco más exigente en cuanto a este tema, por lo que no permite que cualquiera restaure la contraseña; no obstante, un ciberdelincuente puede cambiar la dirección de correo electrónico enlazada al perfil sin autorización y utilizarla para solicitar la restauración de la contraseña de forma legítima (desde el punto de vista del sistema).
¿Qué puedes hacer?
En primer lugar, no desesperes. Evidentemente, los investigadores informaron a los fabricantes, que reaccionaron rápido y solucionaron todos los problemas en un par de días.
Pero antes del estudio, los vehículos con alarmas inteligentes eran menos seguros. Además, no todos los desarrolladores del IdC responden a las recomendaciones de los expertos en ciberseguridad con tanta rapidez y eficiencia. Por tanto, te aconsejamos que seas más precavido que nunca con las soluciones inteligentes, sobre todo cuando se trata de sistemas de seguridad.
Consejos