{"id":27214,"date":"2022-05-31T08:21:56","date_gmt":"2022-05-31T06:21:56","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27214"},"modified":"2022-05-31T08:21:56","modified_gmt":"2022-05-31T06:21:56","slug":"automotive-apps-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/automotive-apps-security\/27214\/","title":{"rendered":"Aplicaciones para autom\u00f3viles: \u00bfqui\u00e9n tiene las llaves de tu coche?"},"content":{"rendered":"<p>La tecnolog\u00eda ha avanzado tanto que, hoy en d\u00eda, cualquier coche moderno es un ordenador sobre ruedas y muchos de ellos est\u00e1n conectados a Internet. Por eso, adem\u00e1s de los propios veh\u00edculos, los fabricantes de autom\u00f3viles est\u00e1n desarrollando aplicaciones para controlarlos a distancia y hacernos la vida m\u00e1s f\u00e1cil: puedes comprobar la ubicaci\u00f3n del coche, encender la calefacci\u00f3n o el aire acondicionado previamente, bloquear y desbloquear las puertas, etc.<\/p>\n<p>Sin embargo, los usuarios tienen necesidades muy diferentes y no es posible reunir todas las funciones en una sola aplicaci\u00f3n. Por ello, adem\u00e1s del <em>software <\/em>de los fabricantes de autom\u00f3viles, han aparecido aplicaciones de terceros de todos los colores. Claro, son c\u00f3modas y \u00fatiles. \u00bfPero son seguras? Nuestros expertos decidieron <a href=\"https:\/\/securelist.com\/third-party-automotive-app-security\/106538\/\" target=\"_blank\" rel=\"noopener\">investigar<\/a> un poco\u2026<\/p>\n<h2>\u00bfQui\u00e9n conduce tu coche?<\/h2>\n<p>Para que el coche sepa que eres t\u00fa quien utiliza la aplicaci\u00f3n, tienes que introducir un nombre de usuario y una contrase\u00f1a. La aplicaci\u00f3n oficial del propio fabricante tiene la ventaja de que tus credenciales no se transmiten a terceros. Adem\u00e1s, los fabricantes de coches deben cumplir con las normas de seguridad de sus productos.<\/p>\n<p>Si eliges una aplicaci\u00f3n de terceros con algunas caracter\u00edsticas concretas con las que no cuente la versi\u00f3n oficial, esta, de alguna manera, necesita acceso al veh\u00edculo o a sus datos de telemetr\u00eda. Algunas aplicaciones ofrecen soluciones especialmente desarrolladas por el fabricante de autom\u00f3viles para este fin, que no requieren tus credenciales y tienen un acceso limitado al veh\u00edculo, lo que te permite utilizar sus funciones, pero les impide llevar a cabo acciones que podr\u00edan ser peligrosas como desbloquear las puertas. Estas aplicaciones son m\u00e1s o menos seguras, pero se pueden contar, casi, con los dedos de una mano.<\/p>\n<p>La mayor\u00eda de las aplicaciones que se conectan a un coche requieren del nombre de usuario y la contrase\u00f1a de tu cuenta con el fabricante; es decir, tienen un acceso completo a tu cuenta. Adem\u00e1s, los requisitos de seguridad que se aplican a los fabricantes de autom\u00f3viles no se extienden a estas apps, y aqu\u00ed es donde surge el problema.<\/p>\n<h2>La confianza lo es todo<\/h2>\n<p>El estudio se centra en las aplicaciones m\u00f3viles de terceros que utilizan la cuenta del propietario del veh\u00edculo con el fabricante. Por desgracia, m\u00e1s de la mitad de los desarrolladores de aplicaciones no advierten de los riesgos de facilitar el acceso a la cuenta. Los que s\u00ed advierten a los usuarios, aseguran que o bien no almacenan las credenciales en ning\u00fan lado, o bien las almacenan de forma cifrada. Algunos subrayan que el nombre de usuario y la contrase\u00f1a solo son necesarios para obtener un c\u00f3digo de autorizaci\u00f3n. Sin embargo, un c\u00f3digo permite a cualquier persona utilizar la cuenta en tu nombre, de igual forma que con tus credenciales de acceso, y tambi\u00e9n podr\u00eda filtrarse si se almacena de forma inadecuada. Adem\u00e1s, no hay forma de comprobar c\u00f3mo se manejan realmente tus credenciales: o conf\u00edas en los desarrolladores o no utilizas la aplicaci\u00f3n.<\/p>\n<p>Adem\u00e1s, los desarrolladores del 14 % de las aplicaciones que nuestros investigadores han estudiado han sido, misteriosamente, imposibles de contactar en caso de un problema: los datos de contacto en sus sitios web eran err\u00f3neos o dirig\u00edan a perfiles de redes sociales eliminados.<\/p>\n<p>Es una situaci\u00f3n parecida a la de los servicios web: el usuario entrega sus credenciales sin saber a ciencia cierta c\u00f3mo ser\u00e1n almacenadas y procesadas. Las soluciones de c\u00f3digo abierto son m\u00e1s transparentes en este sentido: los usuarios con conocimientos t\u00e9cnicos pueden, al menos estudiar el c\u00f3digo. Sin embargo, para la gente que no tiene estas habilidades, ser\u00e1 muy dif\u00edcil entenderlo.<\/p>\n<p>Otro problema es que tambi\u00e9n existen servicios de intermediarios que conectan los sistemas del fabricante de autom\u00f3viles con aplicaciones de terceros. Los desarrolladores de aplicaciones para autom\u00f3viles y servicios web son conscientes de lo que utilizan, pero puede que los usuarios no tengan ni idea de ello. Y es importante entender que, si la aplicaci\u00f3n para autom\u00f3viles de terceros que has elegido funciona a trav\u00e9s de un servicio intermediario, los desarrolladores de ambos pueden hacerse con tus credenciales.<\/p>\n<h2>Aplicaciones de terceros que acceden a tu coche: \u00bfcu\u00e1l es el riesgo?<\/h2>\n<p>Si tus datos no est\u00e1n bien guardados, los intrusos pueden acceder a ellos. Seguramente no te robar\u00e1n el coche, pero pueden controlar a distancia algunos sistemas: puertas, ventanas, climatizaci\u00f3n, claxon, faros, etc. Si un intruso empieza a tocar el claxon o a encender las luces de forma aleatoria mientras conduces, adem\u00e1s de molestar, puede llegar a ser peligroso.<\/p>\n<p>Esto nos lleva a imaginarnos una escena tipo James Bond: \u00bfqui\u00e9n demonios querr\u00eda acabar contigo de una manera tan elaborada? Pero si esos datos se filtraran al dominio p\u00fablico, podr\u00edan caer en manos de personas equivocadas de cualquier parte del mundo. La mayor\u00eda de ellas solo quieren divertirse, pero no se dan cuenta de las consecuencias que sus actos podr\u00edan tener.<\/p>\n<p>Adem\u00e1s, si una aplicaci\u00f3n es hackeada, los atacantes tendr\u00e1n acceso a todos los datos recogidos, incluida la geolocalizaci\u00f3n. Y esto puede utilizarse para rastrear los movimientos de los propietarios de los coches, de nuevo, desde cualquier parte del mundo.<\/p>\n<p>Un ejemplo reciente de esto viene de parte del experto en seguridad David Colombo de 19 a\u00f1os. Este joven <a href=\"https:\/\/medium.com\/@david_colombo\/how-i-got-access-to-25-teslas-around-the-world-by-accident-and-curiosity-8b9ef040a028\" target=\"_blank\" rel=\"noopener nofollow\">descubri\u00f3<\/a> por casualidad una vulnerabilidad en la aplicaci\u00f3n TeslaMate que recoge, almacena y visualiza los datos de telemetr\u00eda de los veh\u00edculos Tesla. Colombo consigui\u00f3 averiguar d\u00f3nde viv\u00edan los propietarios de los coches, por d\u00f3nde conduc\u00edan, a qu\u00e9 velocidad, d\u00f3nde estaban aparcados los veh\u00edculos, d\u00f3nde se cargaban y qu\u00e9 configuraciones estaban instaladas en esos coches.<\/p>\n<p>Aunque la aplicaci\u00f3n en s\u00ed estaba dise\u00f1ada solo para recopilar datos y no para controlar el coche, Colombo consigui\u00f3 hacer precisamente eso. Y todo porque el almacenamiento que conten\u00eda las credenciales del usuario era accesible con la contrase\u00f1a por defecto, mientras que parte de la informaci\u00f3n pod\u00eda recuperarse sin ninguna autorizaci\u00f3n. Colombo inform\u00f3 del problema a los desarrolladores de la aplicaci\u00f3n y estos lo solucionaron con cierta rapidez. A pesar del final feliz, la moraleja de esta historia es, que las aplicaciones de terceros para el coche pueden no ser tan fiables como afirman sus desarrolladores.<\/p>\n<h2>\u00bfDeber\u00eda dejar de usar aplicaciones de terceros?<\/h2>\n<p>Este art\u00edculo no pretende decir que las aplicaciones de terceros no deban utilizarse bajo ning\u00fan concepto. No todos los desarrolladores ignoran la seguridad de los datos de los usuarios. Como hemos visto, los creadores de TeslaMate respondieron con bastante rapidez al informe de vulnerabilidad y solucionaron el problema. Y, por supuesto, hay aplicaciones que no requieren de un acceso completo a tu cuenta con el fabricante de autom\u00f3viles.<\/p>\n<p>Si quieres utilizar funciones no disponibles en la aplicaci\u00f3n oficial de tu veh\u00edculo, ten cuidado a la hora de elegir: si es posible, elige una aplicaci\u00f3n de un desarrollador fiable, transparente y que, como m\u00ednimo, no oculte sus datos de contacto. Busca informes de expertos en seguridad y opiniones de usuarios expertos en tecnolog\u00eda que entiendan c\u00f3mo funciona y cu\u00e1les son los riesgos a tener en cuenta.<\/p>\n<p>Y, si ya est\u00e1s utilizando una aplicaci\u00f3n de terceros y quieres dejar de hacerlo, ten en cuenta que desinstalarla de tu smartphone puede no ser suficiente\u2026<\/p>\n<ul>\n<li>Comprueba si tambi\u00e9n tienes que darte de baja o eliminar tu cuenta con ese servicio.<\/li>\n<li>Cambia la contrase\u00f1a de tu cuenta con el fabricante de autom\u00f3viles. M\u00e1s vale prevenir.<\/li>\n<li>Si es posible, bloquea el acceso de la aplicaci\u00f3n a tu cuenta a trav\u00e9s del sitio web del fabricante o del servicio t\u00e9cnico.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-top3\">\n","protected":false},"excerpt":{"rendered":"<p>La mayor\u00eda de las aplicaciones de terceros para coches requieren un acceso a tu cuenta. \u00bfEs seguro?<\/p>\n","protected":false},"author":2477,"featured_media":27215,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,2019],"tags":[26,965,1037,592,913],"class_list":{"0":"post-27214","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-technology","9":"tag-apps","10":"tag-coches","11":"tag-coches-conectados","12":"tag-internet-de-las-cosas","13":"tag-iot"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/automotive-apps-security\/27214\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/automotive-apps-security\/24209\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/automotive-apps-security\/19691\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/automotive-apps-security\/26535\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/automotive-apps-security\/24493\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/automotive-apps-security\/24844\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/automotive-apps-security\/26744\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/automotive-apps-security\/33228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/automotive-apps-security\/10726\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/automotive-apps-security\/44425\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/automotive-apps-security\/18950\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/automotive-apps-security\/19494\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/automotive-apps-security\/28754\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/automotive-apps-security\/25071\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/coches\/","name":"coches"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27214","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27214"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27214\/revisions"}],"predecessor-version":[{"id":27217,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27214\/revisions\/27217"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27215"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27214"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27214"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}