Agencias / Ciudad de México.- En teoría, los sistemas inteligentes antirrobo son mucho más que alarmas. Pueden prestar ayuda, aunque ya te hayan robado el vehículo, también podrían abrir la puerta a ciberdelincuentes.
Por ejemplo, mediante una aplicación de tu smartphone, puedes rastrearlo, desconectar el motor y bloquear las puertas antes de que llegue la policía. Este sistema es muy cómodo, ¿verdad? Además, según los fabricantes, mejora considerablemente la seguridad del coche.
El problema es que no solo pueden robar tu coche.
Tras hackear tu cuenta e iniciar sesión en la aplicación, un ciberdelincuente consigue acceder a una gran cantidad de datos y a todas las funciones de la alarma inteligente, es más, con tan solo cambiar la contraseña, te dejará fuera del sistema. Por lo que podrá:
- Rastrear los movimientos del vehículo.
- Activar y desactivar el sistema de alarma.
- Bloquear y desbloquear las puertas.
- Activar y desactivar el inmovilizador, una herramienta antirrobo que evita que el motor arranque.
- Desconectar el motor, incluso con el coche en movimiento.
En el caso de las alarmas Pandora, el ciberdelincuente incluso puede escuchar las conversaciones que tengan lugar dentro del vehículo con el micrófono del sistema antirrobo, que se supone que sirve para llamadas de emergencia. Por cierto, recuerda que no puedes hacer nada, solo el atacante tiene acceso al sistema. Ya no suena tan bien, ¿verdad?
Secuestro inteligente en tan solo unos segundos
El equipo de investigación descubrió que secuestrar la cuenta de usuario de una alarma inteligente no solo es posible, sino que es más sencillo de lo que aparece. Para robar una cuenta Viper o Pandora, ni siquiera necesitas comprar la alarma (unos 5,000 dólares). Cuando se realizó el estudio, bastaba con registrar una cuenta en la página web o en la aplicación para acceder al sistema y utilizarla para conseguir acceso a otra cuenta.
Los problemas son similares en ambos sistemas, según la forma en la que aplicación interactúa con el servidor, pero el mecanismo de ataque es algo diferente. En el caso de Viper, el intruso puede cambiar la información de cualquier usuario con tan solo enviar una solicitud especial al servidor donde se almacenan los datos.
El sistema Pandora es un poco más exigente en cuanto a este tema, por lo que no permite que cualquiera restaure la contraseña; no obstante, un ciberdelincuente puede cambiar la dirección de correo electrónico enlazada al perfil sin autorización y utilizarla para solicitar la restauración de la contraseña de forma legítima (desde el punto de vista del sistema).
¿Qué puedes hacer?
En primer lugar, no desesperes. Evidentemente, los investigadores informaron a los fabricantes, que reaccionaron rápido y solucionaron todos los problemas en un par de días.
Pero antes del estudio, los vehículos con alarmas inteligentes eran menos seguros. Además, no todos los desarrolladores del IdC responden a las recomendaciones de los expertos en ciberseguridad con tanta rapidez y eficiencia. Por tanto, te aconsejamos que seas más precavido que nunca con las soluciones inteligentes, sobre todo cuando se trata de sistemas de seguridad.
Here's the full write-up and demo video of our car alarm research that the BBC are running today https://t.co/Kb3Iy1ZfYC … … Thanks to @evstykas @ZephrFish @itsallaboutmark @ghostie_ @TheKenMunroShow. pic.twitter.com/IK5u3GNshU
— pwn test partners (@pwntestpartners) March 8, 2019