Una amenaza real: el automóvil moderno, un smartphone con ruedas

Ponencia de Pablo Escapa perteneciente al módulo Cibercrimen, riesgos, amenazas y vulnerabilidades de C1b3rWall Academy 22/23

Una amenaza real: el automóvil moderno, un smartphone con ruedas

Tiempo de lectura estimado: 7 minutos


Los automóviles modernos se han convertido en una especie de "smartphone con ruedas", ya que cuentan con una gran cantidad de tecnología integrada que permite que los conductores accedan a una variedad de características avanzadas. Sin embargo, este nivel de tecnología también tiene sus riesgos, lo que lleva a que muchos se pregunten si el automóvil moderno es realmente una amenaza real.

¿Qué tienen en común el sector de la automoción y la ciberseguridad?

Un automóvil emplea todo tipo de técnicas de computación moderna y sistemas criptográficos para la apertura y el cierre. También existe el código fuente, que es el encargado de gestionar este tipo de unidad.

¿Es posible tomar el control de un vehículo?

La respuesta es , ya que los automóviles no fueron concebidos de manera cibersegura y tienen gran volumen de vectores de ataque. Podríamos acceder al sistema de iluminación encendiendo intermitentes, luces delanteras, traseras y antinieblas. También se podría acceder al sistema de infoentretenimiento y actuar sobre el odómetro, que es el encargado de marcar las revoluciones del vehículo. Para que el vehículo sea autónomo necesitaremos dotarlo de millones de datos para tomar mejores decisiones.

Para ser capaces de evitar hackeos a este tipo de infraestructura necesitamos comenzar por evaluar los vectores, establecer las contramedidas, realizar una correcta monitorización, establecer un plan de contingencias, formar al usuario y establecer las configuraciones seguras y robustas.

¿Cómo se puede abrir un vehículo?

Hasta hace no mucho tiempo se utilizaban ladrillos para poder acceder al interior. Ahora, con un hardware de bajo coste sería posible abrir silenciosamente el vehículo pese a las soluciones que implementan los fabricantes para evitar que sea robado. Por ejemplo, se puede hacer uso de un RollJam y un ataque man in the middle para bloquear la señal del mando y hacer uso de dicha señal para abrirlo. También se puede utilizar el sistema Keyless Go colocando un receptor en el vehículo para amplificar la señal y poder acceder y arrancar.

Si el código de una app no está ofuscado es fácil acceder a su interior y manipularlo. Una vez rolo el sistema de identificación de la API del fabricante, se pueden lanzar diversas pruebas para obtener los datos que se precisen. Analizando el código manipulado, con una simple comparación de datos con el original se pueden conseguir pruebas fidedignas de que ha sido manipulado. Cualquier persona con conocimientos altos de programación podría acceder a esos datos y robar el vehículo.

Normalización y legislación relacionada

Se están sentando las bases legales para que los automóviles sean ciberseguros. Actualmente, hay dos normas principales al respecto: ISO/SAE 21434 y GRVA 155. El fabricante debe implementar medidas para evitar ciberataques, teniendo que asegurar la detección de amenazas contra la ciberseguridad y la capacidad forense en torno a los datos. Una vez que se cumple con gran parte de las medidas estipuladas se obtiene un "modelo de certificado de conformidad del sistema de gestión de la ciberseguridad", y sin él no se pueden comercializar los vehículos en aquellos espacios donde se aplica la ley.


    ¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.

    Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


    Ponente: Pablo Escapa Gordón

    Pablo es ingeniero técnico en Telecomunicaciones con especialidad en Telemática, además de ingeniero técnico informático en Sistemas y graduado en Ingeniería Informática. Es máster FNS de Cisco Systems, máster profesional en Tecnologías de la Seguridad, máster universitario de Investigación en Ciberseguridad, máster en Ingeniería de Telecomunicación y doctorando por la Universidad de León.

    ¿Cuál es tu reacción?

    like

    dislike

    love

    funny

    angry

    sad

    wow

    Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/