Agencias / InsurgentePress, Ciudad de México.- Muchos de los automóviles modernos dejan la fábrica con pasajeros secretos: módulos de software que están desactivados y que se instalan con miras a su posible implementación futura en el marco de un sistema más completo.
Sin embargo, estos módulos pueden ser desbloqueados por conductores hábiles y con suficientes conocimientos. Esta activación puede tener algunos usos prácticos, pero una investigación reciente revela que entraña serios riesgos de seguridad.
En lo que se cree es el primer análisis de seguridad completo de su clase, Damon McCoy, profesor de ciencia e ingeniería de la computación en la Escuela Tandon de Ingeniería, adscrita a la Universidad de Nueva York, y unos investigadores de la Universidad George Mason, todas estas instituciones en Estados Unidos, encontraron vulnerabilidades en MirrorLink, un sistema de reglas que permite a los vehículos comunicarse con smartphones (teléfonos inteligentes).
MirrorLink, creado por el CCC (Connected Car Consortium), que representa al 80 por ciento de los fabricantes de automóviles del mundo, es el primer y principal estándar de la industria para conectar smartphones a sistemas IVI (In-Vehicle Infotainment).
Sin embargo, algunos fabricantes lo desconectan porque eligen un estándar distinto para la conexión entre smartphone e IVI, o porque la versión de MirrorLink en sus vehículos es un prototipo que puede ser complementado y activado más tarde.
McCoy y sus colegas encontraron que MirrorLink es relativamente fácil de activar, y cuando está desbloqueado puede permitir que unos hackers utilicen el smartphone conectado como trampolín para controlar componentes esenciales de seguridad, como el sistema antibloqueo de frenos.
Los tuneadores, personas o compañías que personalizan automóviles, pueden involuntariamente permitir la entrada de hackers al desbloquear módulos con características inseguras.
McCoy argumenta que los tuneadores tienden a prestar atención a esta clase de detalles, y si estos sistemas son fáciles de desbloquear, lo harán. Un buen ejemplo de ello, expuesto por McCoy, es que ya hay instrucciones disponibles de manera pública describiendo cómo desbloquear MirrorLink.
Uno solo de varios videos explicándolo en YouTube ha recibido más 60,000 visualizaciones. Los investigadores usaron esas instrucciones disponibles públicamente para desbloquear MirrorLink en el sistema IVI de un vehículo de 2015 que adquirieron en eBay para sus experimentos.
El fabricante de automóviles y el suministrador declinaron publicar un parche de seguridad, amparándose en el hecho de que ellos nunca activaron MirrorLink. Es cierto que la manipulación extraoficial de los sistemas de un automóvil nunca es aconsejable, pero, tal como señala McCoy, esta situación es especial porque casi ningún usuario podría percibir en esa activación de software una amenaza.
Los autores de la investigación esperan que esta atraiga la atención hacia el problema de los conductores que desbloquean módulos de software potencialmente inseguros antes de que protocolos IVI como MirrorLink estén más ampliamente desplegados y se proceda a una primera configuración operativa y razonablemente segura.
