Car Hacking: auditorías de seguridad para coches conectados

car hacking

Los coches poco a poco han pasado de pura mecánica a ser cada vez más sofisticados y con mayor porcentaje de electrónica involucrada en su funcionamiento, no solo en el interior o el sistema de infoentretenimiento, también para el control de algunas funciones del motor, para monitorizar parámetros con sensores, y también para implementar todas las llamadas ADAS y más reciente ADS. Por eso, el car hacking cobra cada vez más importancia.

Los nuevos coches conectados y los autónomos, son vulnerables a ciertos ataques, por ese motivo, conocer el car hacking y realizar auditorías de seguridad en los vehículos puede ser interesante para tratar detectar y tapar brechas de seguridad que pudieran ser aprovechadas por ciberdelincuentes.

¿Qué es el car hacking?

car hacking

El car hacking es una rama de la ciberseguridad que se enfoca en la explotación de las vulnerabilidades en los sistemas electrónicos de los vehículos. A medida que los coches se vuelven cada vez más conectados y autónomos, se vuelven también más vulnerables a este tipo de ataques, ya que básicamente son sistemas informáticos con ruedas…

Los atacantes pueden acceder a los sistemas de un vehículo a través de una variedad de métodos, incluyendo:

  • Redes inalámbricas: explotación de vulnerabilidades en las redes Wi-Fi, Bluetooth o redes móviles del vehículo para obtener acceso remoto al sistema de infoentretenimiento y otros subsistemas conectados.
  • Puertos de diagnóstico: mediante el acceso físico al puerto de diagnóstico OBD-II para manipular los sistemas del vehículo.
  • Buses: como el caso del CAN, un estándar en los coches que puede ser vulnerable y que conecta las diferentes ECUs del vehículo.
  • Vulnerabilidades en el software: explotación de bugs o vulnerabilidades en el software del vehículo, incluyendo el sistema operativo, las aplicaciones y los protocolos de comunicación.
  • Otros: también puede haber debilidades en los sistemas de cierre del vehículo basados en RF por los que se podrían abrir puertas para robos, e incluso arrancar el vehículo.

Los objetivos de los ataques de car hacking son diversos y pueden incluir desde robos de los propios coches mediante el desbloqueo y arranque, hasta el espionaje de sus ocupantes (datos personales, itinerarios, ubicación actual…), e incluso el sabotaje manipulando los sistemas de conducción de los vehículos o sistemas ADAS, lo que podría llevar a un accidente mortal.

accidente tráfico vulnerabilidad ciberataque

Para conseguir esto, las técnicas de ataque empleadas por los ciberdelincuentes, y las mismas que usan los hackers éticos para localizar y tratar de reforzar el sistema, son desde la ingeniería inversa de software o de elementos de hardware de un modelo de vehículo idéntico al que se quiere atacar para detectar vulnerabilidades y explotarlas, hasta ataques de fuerza bruta para obtener acceso a servicios con contraseña, ingeniería inversa, esnifado de tráfico en las comunicaciones, pasando por inyección de código malicioso en los sistemas de los vehículos, hasta otros como los ataques de relay, que interceptan y retransmiten señales inalámbricas para poder abrir o arrancar el vehículo, fuzzing, etc. En el caso de los coches autónomos, el problema puede ser incluso peor, ya que una vulnerabilidad en el sistema de conducción podría dar la posibilidad al atacante de variar la ruta de destino, mover el coche remotamente, y hasta provocar un accidente.

Además, se hacen cada vez más importantes las técnicas de mitigación, desde implementar cifrado en el CAN bus, hasta fortalecer los sistemas de autenticación, pasando por otras técnicas como la monitorización de las redes e intrusos, implementar medidas de firewall a las redes y software de protección contra malware, o incluso sistemas basados en IA para detectar patrones de ataque y predecir amenazas.

Ejemplos de ataques reales

Los ataques reales a vehículos nos ofrecen una valiosa lección sobre las vulnerabilidades existentes y las técnicas utilizadas, además de advertirnos sobre los posibles problemas en el futuro. Algunos de los casos más conocidos incluyen:

  • Jeep Cherokee Hack: en 2015, investigadores de seguridad demostraron cómo podían controlar de forma remota un Jeep Cherokee a través de su sistema de infoentretenimiento, tomando el control de los frenos, la dirección y el motor. Este caso puso de manifiesto la vulnerabilidad de los sistemas conectados a Internet en los vehículos.
  • Tesla Hack: aunque Tesla ha implementado fuertes medidas de seguridad, se han reportado casos de hackers que han logrado desbloquear vehículos y acceder a sus sistemas. Esto subraya la importancia de mantener actualizados los sistemas de seguridad y estar atentos a nuevas vulnerabilidades.
  • Otros: también ha habido noticias sobre ataques a otros modelos y marcas conocidas como BMW, Mercedes-Benz y Audi, que también han sido objeto de ataques de relay, robo de información, etc.

Y si contamos las posibles puertas traseras que algunos fabricantes podrían implementar en sus unidades, entonces la cosa se hace más turbia aún…

Aspectos legales

aspectos legales

La creciente preocupación por la seguridad de los vehículos conectados ha llevado a la implementación de nuevas regulaciones y estándares:

  • UNECE R155:  reglamento de las Naciones Unidas que establece requisitos de ciberseguridad para los vehículos conectados.
  • ISO/SAE 21434: es una norma internacional que define un proceso de gestión de la ciberseguridad para el ciclo de vida del desarrollo de vehículos.

Sin embargo, esto no es el único aspecto legal que preocupa de cara al futuro, ya que hay desafíos aún por resolver conforme la tecnología vaya avanzando. Y es necesario que, al igual que se someten a pruebas de seguridad como las Euro NCAP, también haya pruebas de ciberseguridad antes de que un modelo salga a la venta.

La posibilidad de que un vehículo autónomo sea hackeado y cause un accidente con consecuencias fatales plantea un escenario sumamente complejo desde el punto de vista legal. Es un terreno inexplorado que desafía los marcos jurídicos existentes, diseñados en su mayoría para accidentes causados por humanos. Es decir, existen leyes para acusar por delitos de asesinato, homicidio, atentado contra la salud pública, etc. Pero ¿qué pasa en estos casos? ¿quién es el responsable? ¿Es el fabricante del vehículo si se descubre que era conocedor de la vulnerabilidad de seguridad y no la solucionó? ¿Se podría demandar también a las autoridades reguladoras que no establecieron regulaciones adecuadas para la seguridad? ¿Y si no se puede identificar al ciberatacante responsable?

Potencial peligro del CAN Bus

El CAN bus fue diseñado para la comunicación entre componentes automotrices, priorizando la velocidad y la fiabilidad sobre la seguridad. Esto significa que carece de mecanismos de autenticación, cifrado o control de acceso robustos. Por otro lado, se conecta una amplia variedad de componentes del vehículo, lo que significa que un atacante que compromete un solo ECU (Electronic Control Unit) podría obtener acceso a todo el sistema. Y a esto habría que agregar también la falta de fencing o segmentación entre los sistemas que interconecta este bus, lo que permite que el ataque pueda propagarse.

Si un atacante quieres aprovechar el CAN bus, podría inyectar mensajes falsos para manipular las funciones el vehículo, desde el control del motor, hasta los sistemas de frenado, etc. Como se aprecia en la imagen, el CAN bus conecta multitud de subsitemas electrónicos relacionados con el motor, la dirección, los frenos, las luces, sistemas ADAS, airbag, etc., todos ellos críticos.

Herramientas para el car hacking

Para finalizar, si quieres comenzar a investigar sobre el car hacking y probar tú mismo, debes saber que existen algunas herramientas muy interesantes en el mercado:

*Nota: algunos países, como Canadá, están pensando en prohibir herramientas como Flipper Zero.

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.