Las investigaciones sobre fallas en los sistemas de automóviles inteligentes han sido muy útiles para detectar errores que podrían poner en riesgo a los pasajeros y conductores. Un ejemplo de ello es el trabajo de los investigadores Charlie Miller y Chris Valasek, quienes demostraron ser capaces de apagar el motor de un Jeep de forma remota en medio de una carretera en 2015. Desde entonces, múltiples equipos de investigadores han tratado de replicar este trabajo, encontrando toda clase de resultados.
En la más reciente edición de la conferencia de seguridad Black Hat, llevada a cabo de forma virtual, el equipo de investigadores Sky-Go Team, de la unidad de investigación de automóviles en Qihoo 360 reportó el hallazgo de al menos 10 vulnerabilidades en los autos Mercedes-Benz Clase E que podrían permitir abrir las puertas y encender el vehículo de forma remota.
Como señalan los especialistas, la mayoría de los autos modernos cuentan con sistemas de conexión a Internet, lo que brinda a los pasajeros acceso a entretenimiento, navegación, entre otras herramientas. No obstante, al igual que cualquier otro dispositivo conectado a la red, los automóviles se ven expuestos a riesgos remotos.
Para empezar, los investigadores construyeron un banco de pruebas para aplicar ingeniería inversa a los componentes del auto en busca de vulnerabilidades, enfocándose más en las partes mecánicas que en el software integrado. La piedra angular de la investigación es la unidad de control telemático (TCU) de los autos Clase E: “Esta es la parte más importante del automóvil conectado, pues permite la conexión a Internet”, menciona el reporte de Sky-Go Team.
La manipulación del sistema de archivos de la TCU permite acceso a un shell root, con lo que los investigadores obtuvieron una forma de ejecutar comandos con altos privilegios, accediendo a las partes internas del auto objetivo.
El sistema de archivos de la TCU también almacena información confidencial del vehículo, como contraseñas o certificados. La modificación de esta información permitiría intrusiones posteriores que esquivarían los mecanismos de autorización: “El certificado del auto para la región de China tiene una contraseña especialmente débil”, menciona Minrui Yan, líder de la investigación.
Aunque en su investigación los expertos concluyeron que la seguridad del auto era buena, sus defensas no son impenetrables: “Se requiere de un soporte back-end lo suficientemente seguro para evitar variantes de ataque más compleja, aunque somo concientes de que es imposible lanzar el auto perfecto; al menos, en el caso de Mercedes-Benz, la seguridad de sus sistemas ha mejorado de forma considerable”, concluyen los investigadores.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.