En mayo de 2010, un grupo de investigadores de las universidades de San Diego y Washington, publicaron un informe titulado “Experimental Security Analysis of a Modern Automobile”. El objeto del documento era analizar las vulnerabilidades de los sistemas de control de un automóvil en el caso de que un atacante tuviese acceso físico a un puerto de comunicaciones ubicado bajo el salpicadero del mismo.
Las conclusiones fueron demoledoras, a través de esta interfaz quedan expuestos a un uso malintencionado desde dispositivos que controlan el bloqueo de puertas, pasando por la desconexión de los sistemas de iluminación exteriores, hasta actuar sobre los dispositivos de frenada o la aceleración del vehículo, o activar los airbags.
¿Cómo se ha llegado a esto?
Inicialmente, para controlar las emisiones de los vehículos y reducir las emisiones contaminantes, se equipó a todos los coches con el OBD (OnBoard Diagnose) para informar al conductor con un testigo luminoso del mal funcionamiento del motor. Este sistema ha evolucionado hasta el estándar OBD-II, adoptado por Europa mediante una directiva que ha impuesto la implementación gradual de estos sistemas en todos los vehículos desde el 2000. El interfaz del OBD-II, no sólo es utilizado por el fabricante para el diagnóstico de las funciones exigidas por la directiva, sino también, cada uno, en funciones avanzadas de sus automóviles.
El estándar OBD-II define el tipo de conector, sus conexiones, el protocolo utilizado y el formato de los mensajes. Como he comentado, este estándar define unos mínimos y cada fabricante amplió el sistema asignando pines adicionales del conector o protocolos y mensajes nuevos.
Cada vez que llevamos el coche al taller, nuestro mecánico accede al enchufe accesible debajo del salpicadero y lo conecta a un ordenador que lee los datos almacenados en la centralita de control del vehículo. Este ordenador dispone de un software, bien proporcionado por el fabricante o por terceros, que dispone de una amplia base de datos de marcas, modelos y versiones, y permite un diagnóstico inmediato del mismo, para realizar los ajustes o identificar si algo va mal.
Desde hace años existen dispositivos específicos en el mercado que permiten utilizar el conector OBD-II y con un hardware/software que añade funcionalidades útiles no implementadas por los fabricantes, como por ejemplo, activar el bloqueo de puertas cuando se supera determinada velocidad, o subir las ventanillas y apagar las luces cuando se cierra el coche con el mando a distancia.
Este equipo de investigadores tuvo que realizar un nuevo informe en agosto de 2011 (Comprehensive Experimental Analyses of Automotive Attack Surfaces), donde analizaba las vulnerabilidades de los sistemas de control partiendo de la situación en la que un atacante no tenía contacto físico con el automóvil, sino que aprovechaba la tecnología inalámbrica de equipos conectados físicamente al mismo.
La motivación fue la existencia de múltiples dispositivos de control del vehículo que se comunican con el sistema central a través de sistemas inalámbricos, por ejemplo, sensores de presión en los neumáticos, ordenadores de abordo con funcionalidades de manos libres… y toda una serie de sistemas de ayuda a la conducción que se están incorporando, incluso sistemas de aparcamiento asistido, y que, en muchos casos, reciben datos externos por canales específicos de radio o de internet. Nuevamente, una directiva europea, obliga a que todos los vehículos que se comercialicen a partir de noviembre de 2012, dispongan de sistemas de control de la presión de los neumáticos de serie, en aras de una mayor seguridad de la conducción y la reducción de la contaminación por el mayor consumo derivado de la inadecuada presión de los mismos.
Otros fabricantes desarrollan sistemas de localización, control de desplazamientos e incluso bloqueo de los vehículos si fuese necesario, lo que resulta de gran utilidad a las empresas de alquiler de vehículos para vigilar si sus clientes cumplen con las condiciones del contrato de uso.
Los fabricantes de estos dispositivos, muy especializados en este negocio y con contratos draconianos con las grandes marcas, aplican controles severos en la fabricación, preocupados por la seguridad de los mismos, es decir, que sean fiables y duraderos… ¿e invulnerables?
Estos sistemas integran circuitos de terceros a los que se les exige también los mismos requisitos de fiabilidad. Por centrarnos en el ejemplo de los sensores de presión, seguramente pasarán por una batería de tests en los que se les somete a pruebas de cambios de temperatura y humedad, aplicación de fuerzas centrífugas, etc., para simular las condiciones más extremas a las que serán sometidos sin que merme su exactitud en la medida o fallen las comunicaciones con la centralita de control más allá de los periodos máximos tolerados. Estos dispositivos se alojan en la llanta, dentro del espacio cubierto por el neumático, así que, por lo general, se comunican por bluetooth con la centralita.
Pero estos sistemas disponen de un microcódigo (software) con el que se han programado sus funcionalidades y se gobiernan las comunicaciones con la centralita. Apuesto por que este software es muy robusto y hace sólo lo que tiene que hacer, pero, ¿puede existir alguna vulnerabilidad en el mismo? La respuesta podría ser que sí. ¿Si este software tuviese algún tipo de funcionalidad para que un mecánico lo calibrase en una revisión mediante códigos de acceso celosamente guardados en un dispositivo inalámbrico de diagnóstico propietario? La respuesta sería, rotundamente, sí.
Si trasladamos este ejemplo al ordenador de abordo, donde además del microcódigo para gobernar las comunicaciones, el teclado y la pantalla, el software que se integra es más heterogéneo, desarrollado a su vez por otros y con miles y miles de líneas de código en continua evolución y mejora. ¿Cuántas vulnerabilidades pueden aparecer? ¿Les recuerdo el número de revisiones de software que nos llega a nuestros equipos de sobremesa? Por si les parece exagerado, ¿han comprobado cuántas actualizaciones anuncia Apple para los dispositivos personales, considerados como de los más seguros en el mercado? Y por si aún quedan escépticos, CISCO, el fabricante más conocido y extendido de dispositivos de red (sí, siga el cable de red de su ordenador y llegará a él), publica un mínimo de una actualización del software al mes.
Concluyendo, tal y como está evolucionando el mercado del automóvil y la exigencia de los consumidores, si los fabricantes no toman medidas y decisiones al respecto, la conducción de nuestro vehículo puede estar expuesta a serios problemas de seguridad y el riesgo crecerá exponencialmente a medida que se extiendan estos dispositivos y, en paralelo, otros dispositivos idénticos que pueden utilizarse para explotar sus vulnerabilidades.
En el próximo post analizaremos los nuevos retos para la seguridad en este escenario de aplicación de la tecnología y unas modestas sugerencias a estos gigantes de la automoción para invertir en seguridad y ahorrarse costosas sustituciones de dispositivos en el taller.
Teniendo en cuenta lo dicho de los dispositivos integrados por los fabricantes, ¿aún sigue pensando en comprarse ese cable por 30€ que permite visualizar en su smartphone el funcionamiento interno de su vehículo y que sube las ventanillas reconociendo su voz? Pues le informo que tiene donde elegir y se lo puede bajar gratis, pero es posible que acabe en la cárcel por homicidio involuntario, porque los grandes fabricantes tienen mejores abogados que Vd.