![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/20162953\/connected-car-apps-revisited-featured-1024x672.jpg\")
<\/p>\nLa idea de usar una aplicaci\u00f3n para controlar remotamente tu coche suena interesante. \u00bfHace fr\u00edo? Arrancas el motor mientras sigues en la cama y, al salir de casa, el coche habr\u00e1 cogido calor. Si, por el contrario, hace calor, puedes arrancarlo para activar el aire acondicionado. Y ya no tendr\u00e1s que recordar d\u00f3nde has aparcado, siempre podr\u00e1s localizarlo mediante las coordenadas GPS de la aplicaci\u00f3n.<\/p>\n
<\/p>\n
Suena tentador y, por ello, cada vez m\u00e1s coches son compatibles con el control mediante aplicaciones m\u00f3viles, pero \u00bfes seguro? Los expertos de Kaspersky Lab llevaron a cabo un estudio en dos fases para comprender este aspecto particular de la seguridad.<\/p>\n
La primera fase se llev\u00f3 a cabo a finales de 2016 y, en la conferencia RSA de febrero de 2017, los analistas Mikhail Kuzin y Viktor Chebyshev presentaron un informe llamado Mobile apps and stealing a connected car<\/i><\/a> (es espa\u00f1ol, usando aplicaciones m\u00f3viles para robar coches conectados). Los expertos analizaron las aplicaciones para Android que permit\u00edan a los usuarios controlar sus coches conectados: abrir las puertas, arrancar el motor, ubicar el coche en un mapa, ver la informaci\u00f3n del salpicadero, etc.<\/p>\n Nuestros expertos analizaron nueve aplicaciones m\u00f3viles de una larga lista de fabricantes y pusieron a prueba su protecci\u00f3n. Su objetivo era evaluar si estas aplicaciones estaban protegidas contra tres tipos de ataques que usan las aplicaciones maliciosas: obtener el acceso root<\/i> del dispositivo, colocar una capa con una ventana falsa sobre la interfaz de la aplicaci\u00f3n e introducir c\u00f3digo malicioso en la aplicaci\u00f3n leg\u00edtima del coche conectado.<\/p>\n Pero, primero, comprendamos por qu\u00e9 son peligrosos estos ataques.<\/p>\n Rooteo<\/b> Muchos tipos de malware<\/i> se aprovechan de ello. Sobre un 30% del malware<\/i> m\u00e1s com\u00fan para Android puede usar vulnerabilidades del SO para hacer root<\/i> a los dispositivos. Adem\u00e1s, muchos usuarios se lo ponen f\u00e1cil a los virus porque son ellos mismos los que hacen root<\/i> a sus dispositivos<\/a>, algo que no recomendamos a no ser que est\u00e9s 100% seguro de que sabes c\u00f3mo proteger tu smartphone<\/i> o tablet con permisos root<\/i>.<\/p>\n Superposici\u00f3n de la interfaz de la aplicaci\u00f3n<\/b> Luego, cuando el usuario haya introducido la informaci\u00f3n en la ventana falsa, pens\u00e1ndose que est\u00e1 interactuando con una aplicaci\u00f3n de confianza, el malware<\/i> roba los nombres de usuario, las contrase\u00f1as, los n\u00fameros de las tarjetas de cr\u00e9dito y dem\u00e1s informaci\u00f3n que sea de inter\u00e9s para los hackers<\/i>.<\/p>\n Este truco es t\u00edpico en los troyanos de aplicaciones bancarias, pero no solo se limitan a ellas, pues sus creadores ahora recopilan informaci\u00f3n de un gran n\u00famero de aplicaciones en las que los usuarios introducen los n\u00fameros de sus tarjetas de cr\u00e9dito u otro tipo de informaci\u00f3n interesante para ellos.<\/p>\n La lista de aplicaciones imitadas es muy larga: varios sistemas de pago y aplicaciones populares de mensajer\u00eda<\/a>, aplicaciones para comprar billetes de avi\u00f3n y reservar hoteles, la tienda Google Play<\/a>\u00a0y Android Pay, aplicaciones con fines de pago, entre otras. Hace poco, los creadores de uno de estos troyanos empezaron a robar informaci\u00f3n de aplicaciones que ofrecen servicios de taxi<\/a>.<\/p>\n Inserci\u00f3n de malware<\/i><\/b> Para prevenir el uso de este truco, los desarrolladores de aplicaciones tienen que estar seguros de que usar ingenier\u00eda inversa para introducir c\u00f3digo malicioso requiera mucho tiempo y, as\u00ed, no les resulte beneficioso. En un mundo ideal, los desarrolladores de aplicaciones que manejan informaci\u00f3n sensible usar\u00edan t\u00e9cnicas conocidas para reforzar la seguridad de las mismas desde la etapa de desarrollo, pero, por desgracia, en el mundo real no lo hacen siempre.<\/p>\n Mediante los m\u00e9todos mencionados, las aplicaciones maliciosas pueden robar nombres de usuario, contrase\u00f1as y c\u00f3digos PIN, as\u00ed como el n\u00famero \u00fanico de identificaci\u00f3n del veh\u00edculo (VIN), lo \u00fanico necesario para autentificarse en la aplicaci\u00f3n.<\/p>\n Una vez que los delincuentes obtienen dicha informaci\u00f3n, lo \u00fanico que deben hacer es instalar la aplicaci\u00f3n correspondiente en su propio smartphone<\/i> y podr\u00e1n abrir las puertas (todas las aplicaciones tienen esta caracter\u00edstica) y arrancar el motor (no todas las aplicaciones lo permiten, pero es muy com\u00fan) o robar el coche y hacer un seguimiento de los movimientos del usuario.<\/p>\n La amenaza ha pasado de la teor\u00eda a la pr\u00e1ctica. En el foro Darknet hay anuncios para vender y comprar informaci\u00f3n real sobre los datos de los usuarios de aplicaciones de coches conectados y su precio es alto (bastante m\u00e1s de lo que se suele pagar por la informaci\u00f3n de tarjetas de cr\u00e9dito robadas).<\/p>\n La publicidad del foro Darknet que ofrece la compra y la venta de informaci\u00f3n de usuario de aplicaciones de coches.<\/p><\/div>\n Los ciberdelincuentes responden con rapidez a las nuevas oportunidades de ganar dinero, por lo que solo es cuesti\u00f3n de tiempo que se extienda este tipo de malware<\/i> que ataca las aplicaciones de los coches conectados.<\/p>\n Cuando a principios de 2017 se public\u00f3 la primera parte de la investigaci\u00f3n, los expertos hab\u00edan comprobado 9 aplicaciones de coches conectados para Android de los mayores fabricantes y descubrieron que ninguna estaba protegida contra las amenazas mencionadas anteriormente<\/a>.<\/p>\n De nuevo, todas las aplicaciones que estudiamos eran vulnerables a los ataques m\u00e1s comunes.<\/p>\n Los expertos de Kaspersky Lab se pusieron en contacto con los fabricantes de coches y les informaron de los problemas antes de publicar los resultados.<\/p>\n Siempre es interesante ver c\u00f3mo se desarrollan los acontecimientos, por ello, Mikhail Kuzin present\u00f3 hace unos d\u00edas la segunda parte del informe en el IAA, el sal\u00f3n del autom\u00f3vil de Frankfurt.<\/p>\n El experto a\u00f1adi\u00f3 otras cuatro aplicaciones a la lista y las examin\u00f3 todas, poniendo a prueba, en total, 13 programas. Solo estaba protegida una de las nuevas aplicaciones (y solo contra uno de los tres tipos de ataque; en cuanto detectaba que se hab\u00eda hecho root<\/i> el tel\u00e9fono, dejaba de funcionar).<\/p>\n Y, lo que es peor: la nueva revisi\u00f3n mostraba que las primeras nueve aplicaciones segu\u00edan siendo vulnerables. Los desarrolladores no han hecho nada por solucionar el problema en todos estos meses. Es m\u00e1s, algunas de estas aplicaciones no se hab\u00edan actualizado<\/i>.<\/p>\n Por desgracia, los fabricantes, a pesar de su conocimiento y talento en el dise\u00f1o de coches, todav\u00eda no cuentan con la experiencia necesaria para implementar la ciberseguridad de manera adecuada.<\/p>\n No son los \u00fanicos. Este problema es t\u00edpico de los fabricantes de otros dispositivos conectados inteligentes. Sin embargo, con los coches, el problema es m\u00e1s urgente y serio, pues su hackeo<\/i> puede causar p\u00e9rdidas de miles de d\u00f3lares o, incluso, arriesgar la vida de personas.<\/p>\n\n Por fortuna, los expertos en ciberseguridad no tienen por qu\u00e9 trabajar in-house<\/i> ni tampoco hay por qu\u00e9 cometer los mismos errores. Nos alegra trabajar con los fabricantes<\/a> para ayudarles a resolver los problemas con sus aplicaciones y dem\u00e1s instrumentos digitales.<\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/20163145\/cars_research_en_1.png\")
<\/p>\nPosibles vectores de ataque<\/h3>\n
\nEn el modo de funcionamiento est\u00e1ndar, todas las aplicaciones Android almacenan datos, incluidos los nombres de usuario, las contrase\u00f1as y otro tipo de informaci\u00f3n, en partes aisladas de la memoria a las que otras aplicaciones no pueden acceder. Hacer root<\/i> rompe este mecanismo de seguridad, ya que las aplicaciones pueden acceder a la informaci\u00f3n almacenada por otras aplicaciones y robarla.<\/p>\n
\nEste truco funciona con mucha facilidad. El malware<\/i> rastrea las aplicaciones cuando el usuario las abre y, en cuanto este abre una aplicaci\u00f3n que reconoce<\/i>, superpone una ventana en la interfaz con un gran parecido (o id\u00e9ntica) a la de la aplicaci\u00f3n en cuesti\u00f3n. El proceso es instant\u00e1neo, por lo que el usuario no llega a darse cuenta de nada malicioso.<\/p>\n
\nLos hackers<\/i> tambi\u00e9n pueden usar una aplicaci\u00f3n leg\u00edtima, aprender c\u00f3mo funciona, introducir c\u00f3digo malicioso en ella preservando las funciones originales y difundirla mediante Google Play u otros canales (en particular, anuncios maliciosos de Google AdSense).<\/p>\nLa amenaza principal<\/h3>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/20163441\/darknet-ads-1024x328.jpg\")
Primera parte: 9 aplicaciones de coches conectados, 0 con protecci\u00f3n contra el malware<\/i><\/h3>\n
Segunda parte: 13 aplicaciones para coches conectados, 1 con protecci\u00f3n contra (alg\u00fan) malware<\/i><\/h3>\n