Tan solo unos días después de hablaros de uno de los ataques a la seguridad digital del automóvil más graves hasta la fecha, hoy nos llega nueva información del grave riesgo que corre la masificación tecnológica de nuestros vehículos actuales. Si el anterior afectado era el Jeep Cherokee, esta vez nuestros protagonistas son modelos de alta gama, encontrándonos ante marcas de la talla del Grupo Volkswagen, Fiat, Audi, Ferrari, Porsche o Maserati.
Según informan desde BloombergBussiness, miles de coches de una serie de fabricantes han pasado varios años en riesgo de piratería electrónica, un problema que, según afirman, el Grupo Volkswagen ha pasado dos años tratando de ocultar en los tribunales. Al parecer, el robo de vehículos «sin llave» en Reino Unido no ha servido de escarmiento para la mayoría de fabricantes, y eso que ya representa el 42% del total de coches robados…
El estudio del que vamos a hablar data de 2012, fecha en la que se llevaron a cabo unas investigaciones en materia de seguridad para descubrir las vulnerabilidades a las que se enfrentaban los vehículos con tecnología de apertura y arranque sin llave. Los resultados demostraron que existía una debilidad en la radiofrecuencia de los chips de identificación (RFID) de la llave, pero los fabricantes de automóviles que hoy nos atañen demandaron a los investigadores para evitar la publicación de dichos resultados.
Esta semana, Roel Verdult y Baris Ege de la Universidad de Radboud (Holanda) y Flavio García, de la Universidad de Birmingham (Reino Unido), publicaron finalmente los resultados de su estudio en la conferencia de seguridad USENIX de Washington DC, donde pueden apreciarse con claridad las vulnerabilidades del protocolo de cifrado y autenticación del algortimo Megamos Crypto que utiliza gran parte de vehículos de lujo.
Pero el problema no reside solo en que el hacker pueda introducirse en nuestro vehículo, sino que ese mismo fallo es aplicable a los inmovilizadores, es decir, los dispositivos electrónicos de seguridad que impiden el arranque del coche a menos que la llave correcta (que contiene el chip RFID) se encuentre muy cerca del mismo.
Se supone que su función es evitar el robo del vehículo con técnicas tradicionales como ‘hacer un puente’, pero su anulación resulta tan simple como amplificar la señal, algo que se ha demostrado que puede conseguirse en apenas media hora.
«Estamos ante un grave defecto y no es fácil de corregir rápidamente. No es una debilidad teórica, es real y no es barato de solucionar, cuesta miles de dólares reales» explicó Tim Watson, Director de Seguridad Cibernética de la Universidad de Warwick.
Aunque el equipo de investigación llevó por primera vez sus conclusiones al fabricante del chip en febrero de 2012 y luego a Volkswagen en mayo de 2013, el primero de ellos presentó una demanda para bloquear la publicación del documento y le envió un requerimiento judicial ante el Tribunal Superior de Reino Unido. Ahora, tras un largo período de negociaciones con el fabricante y el Grupo Volkswagen, el documento ha salido finalmente a la luz.
Como ya dijimos, este no es ni mucho menos el primer caso: ya ocurrió algo similar con el sistema ConnectedDrive de BMW hace algunos meses; en 2013, dos hackers consiguieron hacerse con el control de un Toyota Prius (en este caso, a través de una conexión física con el coche); y, en 2014, un grupo de estudiantes chinos fueron capaces de hackear un Tesla Model S.
Además, el Megamos Crypto no es el único algoritmo que ha sido puesto en tela de juicio, otros tan populares como DST o KeeLoq también han sido objeto de numerosos estudios llevados a cabo por los investigadores de seguridad digital y han presentado debilidades. ¿Qué tiene que pasar para que los fabricantes entre en razón de una vez por todas?
Pues que bien…..de todas maneras….mi coche ( passat 2006 ) no es keyless…..pero segun el documento si….menos mal que no es el «alto de gama»
Yo paso de los keyless. No me gusta esa idea
Es como todo cuando te acostumbras no quieres buscar mandos para darle al botoncito y los mercedes lo montan desde hace más de 10 años y no están en la lista (aunque si quieren pues …roban cualquier coche ) keyless y un buscador por gps
Eric Moreno
Hernán Cubillas manda huevos
Juan Pedro Valver Valver