Hoy en día hacemos todo a través de Internet. Desde pedir comida a consultar nuestro extracto bancario. Cada vez más fabricantes de coches ofrecen servicios a través de Internet. Los BMW con ConnectedDrive nos permiten enviar desde nuestro PC instrucciones de navegación o consultar su autonomía, por ejemplo. Un grupo de expertos en seguridad informática han descubierto que un hacker podría bloquear un BMW de forma remota y acceder a los datos personales del propietario a través del portal web de BMW ConnectedDrive.
El fallo de seguridad del portal de BMW ConnectedDrive permitiría a un hacker el acceso a la configuración del vehículo, sentado en el sillón de su casa. Suplantando la identidad del usuario del BMW en el portal web, un hacker podría de forma remota bloquear o desbloquear el vehículo y alterar las instrucciones del navegador. Un escenario de pesadilla: en vez de dirigirnos a la casa de un amigo, terminamos siendo emboscados en un oscuro callejón sin salida, y somos incapaces de bloquear las puertas del vehículo.
Además, esta vulnerabilidad también permitiría a un hacker acceder a la cuenta de email del propietario del BMW, así como a otros datos del sistema de infoentretenimiento. Por ejemplo, podría ver qué búsquedas recientes ha hecho, o a donde planea dirigirse. También puede conocer la ubicación del vehículo. Sobra decir que es un grave fallo de seguridad, y que el grupo de expertos que la ha descubierto – Vulnerability Laboratory – conmina a BMW a solucionar este fallo de seguridad lo antes posible, antes de que ocurran problemas.
No soy un experto en seguridad informática – ni mucho menos – pero el problema es en apariencia grave. Según las fuentes consultadas, BMW aún no ha tomado medidas al respecto ni emitido comunicado alguno, pero no dudamos en que estarán trabajando contrarreloj para desarrollar un parche y arreglar el fallo de seguridad. La segunda vulnerabilidad encontrada por el grupo de expertos tendría que ver con el reset de la contraseña de acceso al servicio, que facilitaría a un hacker la introducción de malware en la web de ConnectedDrive.
Ya hemos visto en otras ocasiones lo problemático que puede ser el hacking en vehículos conectados. Hace apenas meses, el Grupo FCA se vió envuelto en un escándalo con sus sistemas Uconnect, que permitían a un hacker el bloqueo remoto de los Jeep Cherokee. El problema fue solucionado mediante un actualización del sistema. Lo que está claro es que en un mundo donde los coches son ordenadores con ruedas, y cada vez ofrecen más servicios conectados a Internet, este tipo de noticias serán cada vez más frecuentes.
Para entender todos los detalles técnicos, la web inglesa The Register ofrece una explicación detallada de la vulnerabilidad. Este anuncio público no es una llamada a criminales de todo el mundo para explotar el fallo de seguridad. Se trata de una llamada de atención a BMW, que de otra manera desconocería el problema. Vulnerability Laboratory ya lo ha hecho, de forma altruista, con otras empresas y otros productos. Lo que buscan es llamar la atención acerca de la seguridad de los coches conectados, que consideran insuficiente.
Fuente: Jalopnik
En Diariomotor:
