Los especialistas en seguridad de la información en Pen Test Partners han secuestrado un automóvil usando su sistema de alarma inteligente, con lo cual han demostrado que este ciberataque puede suceder.
Pero, eso no sería lo peor, ya que los sistemas de seguridad que los investigadores pudieron hackear, Pandora y Viper SmartStart, serían ampliamente utilizados. Los expertos estiman que alrededor de tres millones de autos los tienen instalados.
Ante esto, desde Kaspersky Lab se ha dejado claro que un sistema de alarma inteligente antirrobo representa más que una simple alarma, ya que puede ayudar, incluso, si el vehículo ya ha sido robado.
“Por ejemplo, pueden rastrearlo, apagar el motor y cerrar las puertas antes de que llegue la policía, y todo esto se hace a través de una aplicación en tu smartphone ¿Conveniente? Usted apuesta ¿Seguro?”.
Sin embargo, tras haber secuestrado la cuenta del propietario del auto, ya no es solo el coche lo que puede ser robado.
El ciberdelincuente puede iniciar sesión en la aplicación en su nombre, obtener acceso a una gran cantidad de datos y todas las funciones de alarma inteligente.
Entonces, un simple cambio de contraseña lo bloqueará del sistema y el atacante podrá rastrear todos los movimientos del vehículo, habilitar y deshabilitar el sistema de alarma inteligente, bloquear y desbloquear las puertas del coche, activar y desactivar el inmovilizador (herramienta antirrobo que evita que el motor arranque) o apagar el motor, incluso, en movimiento.
“En el caso de las alarmas de Pandora, el delincuente cibernético también puede escuchar las conversaciones dentro del vehículo a través del micrófono del sistema antirrobo, que está diseñado para llamadas de emergencia”.
Hackear un alarma inteligente no es difícil
El equipo de Pen Test Partners que ha participado en la investigación ha dejado al descubierto que secuestrar una cuenta de usuario de alarma inteligente no sólo es posible, sino que tampoco es tan difícil.
“Para robar una cuenta Viper o Pandora, no es necesario comprar la alarma por sí mismo (que puede costar $ 5,000). En el momento del estudio, todo lo que alguien tenía que hacer para obtener acceso al sistema era registrar una cuenta en el sitio web o en la aplicación y utilizarla para obtener acceso a cualquier otra cuenta”.
Los investigadores creen que los problemas en ambos sistemas son similares y que estarían relacionados a la forma en que la aplicación interactúa con el servidor.
En el caso de Viper, el mecanismo de ataque es ligeramente diferente, ya que el ciberdelincuente puede cambiar las credenciales de cualquier usuario enviando una solicitud especial al servidor donde se almacenan los datos.
“El sistema Pandora es un poco más exigente, ya que no permite que nadie pueda restablecer la contraseña; sin embargo, un ciberdelincuente puede cambiar la dirección de correo electrónico vinculada al perfil, sin autorización, y luego usarla para solicitar legítimamente (desde el punto de vista del sistema) un restablecimiento de la contraseña”.
Cuidado con las soluciones inteligentes
Al conocer los resultados del estudio de Pen Test Partners, lo primero que han hecho los usuarios ha sido asustarse. No obstante, se ha conocido que han tenido un poco de alivio.
Y es que los investigadores, por supuesto, informaron sus hallazgos inmediatamente a los fabricantes, quienes han hecho caso y pudieron reaccionar rápidamente. Fue así como lograron cerrar todas las lagunas en apenas unos días.
Los expertos de Kaspersky Lab consideran que antes de que se pusiera de manifiesto el estudio de Pen Test Partners, los vehículos con un sistema de alarma inteligente eran, en efecto, menos seguros que aquellos que no lo tenían.
Otro dato o aspecto importante ha sido que no todos los desarrolladores de dispositivos con tecnología IoT (Internet de las Cosas), de ninguna manera, responden a las recomendaciones de los expertos en ciberseguridad con la misma prontitud y eficiencia que se ha hecho en este caso.
“Por lo tanto, nuestro consejo, como siempre, es tener cuidado con las soluciones inteligentes, especialmente cuando los sistemas de seguridad están en juego”, señalaron.