Saltar al contenido principal

Automóviles conectados: ¿Quién controla su auto sin que usted lo sepa?

19 de febrero de 2017

Durante los últimos años, los autos han comenzado a conectarse activamente a Internet.

Durante los últimos años, los autos han comenzado a conectarse activamente a Internet. La conectividad incluye no sólo sus sistemas de información y entretenimiento, sino también sistemas esenciales del vehículo, como cerraduras de puertas y encendido, que ahora están disponibles en línea. Con la ayuda de aplicaciones móviles, ahora es posible obtener las coordenadas de ubicación del vehículo, así como su ruta, y abrir puertas, arrancar el motor y controlar dispositivos adicionales en el automóvil. Por un lado, estas son funciones extremadamente útiles. Por otro, ¿cómo aseguran los fabricantes estas aplicaciones contra el riesgo de ataques cibernéticos?

Para averiguar esto, los investigadores de Kaspersky Lab han probado siete aplicaciones para el control a distancia de automóviles que han sido desarrolladas por algunos de los principales fabricantes y que, según las estadísticas de Google Play, han sido descargadas decenas de miles de veces y, en algunos casos, hasta cinco millones de veces. La investigación descubrió que cada una de las aplicaciones examinadas contenía varios problemas de seguridad.

La lista de los problemas de seguridad descubiertos incluye:

  • No hay defensa contra la ingeniería inversa de la aplicación. Como resultado, usuarios malintencionados pueden entender cómo funciona la aplicación y buscar una vulnerabilidad que les permita obtener acceso a la infraestructura del servidor o al sistema multimedios del automóvil.
  • No hay verificación de la integridad del código, lo cual es importante porque permite a los delincuentes incorporar su propio código en la aplicación y reemplazar el programa original por uno falso.
  • No hay técnicas para detectar un rooting. Los permisos de root le dan a los troyanos casi infinitas posibilidades y dejan indefensa a la aplicación.
  • Falta de protección contra las técnicas de superposición de aplicaciones. Esto ayuda a las aplicaciones maliciosas a mostrar ventanas de phishing y a robar las credenciales de los usuarios.
  • Almacenamiento de inicios de sesión y contraseñas en texto sin formato. Aprovechando esta debilidad, un criminal puede robar los datos de los usuarios con relativa facilidad.

Después de un ataque exitoso, un atacante puede ganar control sobre el automóvil, desbloquear las puertas, apagar la alarma de seguridad y, teóricamente, robar el vehículo.

En cada caso, el vector de ataque requeriría algunos preparativos adicionales, como el de tentar a los propietarios de las aplicaciones a que instalen apps maliciosas especialmente diseñadas que hagan rooteo en el dispositivo y obtengan acceso a la aplicación del automóvil. Sin embargo, como han concluido los expertos de Kaspersky Lab después de investigar otras aplicaciones maliciosas dirigidas a robar credenciales en las transacciones bancarias efectuadas en línea y otra información importante, es poco probable que esto sea un problema para criminales con experiencia en técnicas de ingeniería social si decidieran salir a la caza de propietarios de automóviles conectados.

"La conclusión principal de nuestra investigación es que, en su estado actual, las aplicaciones para autos conectados no están preparadas para soportar ataques de malware. Al pensar en la seguridad del automóvil conectado, no sólo debe considerarse la seguridad de la infraestructura del lado del servidor. Esperamos que los fabricantes de automóviles tendrán que ir por el mismo camino que han recorrido los bancos con sus aplicaciones. Inicialmente, las aplicaciones para la banca en línea no tenían todas las características de seguridad enumeradas en nuestra investigación. Ahora, después de varios casos de ataques contra aplicaciones bancarias, muchos bancos han mejorado la seguridad de sus productos. Por suerte, todavía no hemos detectado ningún caso de ataque contra aplicaciones para automóviles, lo que significa que los vendedores de autos todavía tienen tiempo para hacer las cosas bien. Cuánto tiempo tienen exactamente, se desconoce. Los troyanos modernos son muy flexibles, un día pueden actuar como adware normal, y al día siguiente pueden bajar fácilmente una nueva configuración que hace posible que se dirijan a nuevas aplicaciones. La superficie de ataque es realmente muy grande aquí", dijo Victor Chebyshev, experto en seguridad de Kaspersky Lab.

Los investigadores de Kaspersky Lab aconsejan a los usuarios de aplicaciones para autos conectados que sigan estas medidas para proteger sus automóviles y sus datos privados contra posibles ataques cibernéticos:

  • No haga root en su dispositivo Android, ya que esto abrirá posibilidades casi ilimitadas a las aplicaciones maliciosas
  • Desactive la posibilidad de instalar aplicaciones de fuentes que no sean las de las tiendas de aplicaciones oficiales
  • Mantenga actualizada la versión del sistema operativo de su dispositivo para reducir las vulnerabilidades del software y reducir el riesgo de ataque
  • Instale una solución de seguridad probada para proteger su dispositivo contra ataques cibernéticos.

Para obtener más información sobre las amenazas a los automóviles conectados, lea el artículo disponible en Securelist:
https://securelist.com/analysis/publications/77576/mobile-apps-and-stealing-a-connected-car

Acerca de Kaspersky Lab

Fundada en 1997, Kaspersky Lab es una empresa global de ciberseguridad. La profunda inteligencia de amenazas y pericia en seguridad de Kaspersky Lab se transforma constantemente en soluciones y servicios de seguridad para proteger a las empresas, infraestructuras críticas, gobiernos y consumidores de todo el mundo. El portafolio de seguridad integral de la compañía incluye protección líder para endpoints y una serie de soluciones y servicios de seguridad especializados para luchar contra amenazas digitales sofisticadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270,000 clientes corporativos a proteger lo que más valoran.
Más información en http://latam.kaspersky.com.

Automóviles conectados: ¿Quién controla su auto sin que usted lo sepa?

Durante los últimos años, los autos han comenzado a conectarse activamente a Internet.
Kaspersky logo

Sobre Kaspersky

Kaspersky es una empresa de ciberseguridad y privacidad digital global fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha ante ciberamenazas emergentes y ataques dirigidos, la enorme experiencia de Kaspersky en cuestión de información y seguridad ante amenazas se transforma de forma constante en soluciones y servicios innovadores que ofrecen protección a negocios, infraestructuras vitales, gobiernos y consumidores de todo el mundo. El completísimo catálogo de la compañía incluye los mejores productos y servicios de protección de terminales, así como soluciones de ciberinmunidad para combatir amenazas digitales sofisticadas y en constante evolución. Ayudamos a que más de 200 000 clientes corporativos protejan aquello que más les importa. Más información en www.kaspersky.es.