El mundo de antivirus

jueves 22 de junio de 2023

En nuestras ediciones de El Mundo de Antivirus, hablamos a menudo sobre diversas ciberamenazas a las que están expuestos los usuarios de equipos de hogar y de otros dispositivos ya imprescindibles en la vida moderna. La infraestructura digital que nos rodea está formada por múltiples dispositivos, desde ordenadores personales, teléfonos inteligentes, televisores inteligentes y otros dispositivos, hasta equipos de red, almacenamiento, redes y servidores. Todo ello está controlado por múltiples programas con una gran variedad de protocolos y algoritmos, con mayor frecuencia, completamente desapercibidos para un usuario ordinario.

Nuestros lectores saben que un sistema de interacción digital fino, pero sofisticado tiene un problema de seguridad fundamental. Un código malicioso puede afectar prácticamente a todos los niveles de intercambio de información, desde la explotación de vulnerabilidades de bajo nivel hasta el fraude en línea más sencillo. Por eso, con el desarrollo de la tecnología digital y la popularidad de los dispositivos inteligentes, la cuestión de la seguridad no sólo no pierde relevancia, sino que se está convirtiendo en la piedra angular de todo el sector. Y en la edición de hoy queremos hablar de coches.

"Espere, ¿qué coches? En las páginas de El Mundo de Antivirus solemos hablar de equipos", habrá pensado Vd.. Pues así es. En esta edición, le proponemos analizar su coche de forma un poco distinta: no como medio de transporte, sino como un auténtico equipo. Al fin y al cabo, cuanto más complejo es un dispositivo, un programa o un sistema, más vulnerable es potencialmente. Averigüemos si un coche moderno es un objetivo para los ciberdelincuentes.

La industria del automóvil debe mucho al desarrollo de la tecnología digital. Durante la mayor parte de su siglo de historia, el automóvil ha tenido un sistema eléctrico muy simple. Un motor de arranque para poner en marcha el motor, los sistemas de encendido y potencia, algunos sensores analógicos, iluminación y será todo. Por cierto, ni siquiera el motor de arranque y la bomba eléctrica de combustible aparecieron en los coches desde el principio. Con el tiempo, el equipamiento fue mejorando, aparecieron diversos mecanismos auxiliares, que mejoraron el confort y la seguridad del conductor y de pasajeros, pero en general, hasta principios de los años 80 del siglo pasado, los coches de producción seguían siendo vehículos predominantemente mecánicos. La aparición de microprocesadores relativamente baratos marcó el inicio de la nueva era en la producción de automóviles. De esta forma, los sistemas de control electrónico empezaron a introducirse a gran escala, primero en las unidades más importantes y luego en los dispositivos auxiliares. Esto supuso un gran avance tecnológico, ya que el uso de la electrónica permitió aumentar la eficiencia de los motores y reducir considerablemente las emisiones.

Un coche moderno es un ordenador sobre ruedas. Más concretamente, todo un sistema de ordenadores llamados unidades de control electrónico (ECU). Por ejemplo, la ECU del motor controla la mezcla de combustible y aire, el encendido, la distribución variable de las válvulas, el flujo de aire de admisión y otros procesos de la unidad motriz. Para que el motor funcione correctamente, el ordenador recopila y procesa constantemente la información procedente de numerosos sensores y emite órdenes a los actuadores. Otros sistemas importantes del vehículo también tienen su propia ECU: el ordenador controla el cambio de marchas, el funcionamiento de los frenos, la transferencia de par a los distintos ejes en los vehículos con tracción a las cuatro ruedas y mucho, mucho más. Pero eso es sólo la cima del iceberg. Si una puerta está abierta o cerrada, si la bombilla funciona, cómo es la calidad del aire dentro... de todo eso "se entera" la electrónica del coche.

Para que todo funcione correctamente, las unidades de los distintos sistemas deben poder comunicarse entre sí. Para ello, a principios de los 80 se inventó un bus de datos digital, el llamado bus CAN (Controller Area Network). Sirve de canal de comunicación entre las unidades de control digital para todas las señales y órdenes. Como lo hemos mencionado más arriba, inicialmente, el control digital se integró en los bloques responsables del funcionamiento de los componentes más importantes del coche. A continuación, al bus único se conectaron los sistemas auxiliares como el control de confort, multimedia y telemetría. Desde un punto de vista físico, el bus CAN es un par trenzado de cables para el paso de la corriente eléctrica. Determinadas tensiones de corriente corresponden al cero lógico o al uno lógico. No entraremos en detalles del funcionamiento del bus, pero cabe destacar que en un sistema de este tipo los bloques pueden comunicarse entre sí de forma secuencial y por orden de prioridad, siempre muy rápido y en tiempo real.

Por supuesto, las unidades de control de los automóviles no se parecen mucho a los ordenadores personales y la transferencia de datos en el bus CAN no está organizada de la misma manera que en nuestro modelo habitual TCP/IP. No obstante, existen interfaces con el bus CAN desde el exterior para el diagnóstico y el control. Vamos a ver el tema de la seguridad digital.

Como hemos mencionado, en un coche moderno, el ordenador asume el control de casi todos los componentes. En los últimos años, los sistemas de seguridad activa han recibido un gran desarrollo: los modelos premium llevan a bordo muchos "asistentes" electrónicos, que no sólo avisan al conductor de situaciones peligrosas, sino que pueden interferir en el frenado e incluso en la dirección. La tolerancia a fallos de los sistemas electrónicos es, por lo tanto, una prioridad para los fabricantes de automóviles.

Las unidades de control de automoción son muy seguros y están diseñadas para realizar tareas sencillas y homogéneas. La transferencia de datos a través del bus CAN está protegida contra interferencias electromagnéticas gracias al par trenzado y al uso de sumas de comprobación en cada trama del mensaje. Al fin y al cabo, si una ECU capta un valor erróneo y envía una orden incorrecta a cualquier dispositivo ejecutivo, puede producirse una situación muy peligrosa en la carretera.

¿Existe algún malware que pueda hacerse con el control del vehículo? ¿Puede un intruso controlar el coche desde el exterior a través de la electrónica de a bordo incorporada?

Cabe destacar que hace 40 años, el bus CAN fue diseñado pensando en la resistencia, no en la ciberseguridad y la protección contra hackers. Si establecemos una analogía con las redes informáticas, hasta hace poco la red digital del automóvil se consideraba puramente aislada. Destaquemos algunas de las características clave de la transmisión de datos en una red de este tipo.

1. Las unidades del vehículo (llamémoslas nodos) emiten sus mensajes de forma consecutiva al mismo bus por orden.
2. Todos los nodos son iguales, cualquiera de ellos puede ser tanto emisor como receptor.
3. El nodo cuyo mensaje tenga mayor prioridad está autorizado a enviar datos al bus.
4. El mensaje enviado está disponible para todos los nodos de la red a la vez.
5. La arquitectura del bus CAN no admite cifrado, todos los datos se transmiten de forma pública.
6. Además, la arquitectura de bus CAN no admite la autenticación de los mensajes ni de los nodos comunicantes.

De todo esto se deduce que, al obtener acceso al bus CAN, un intruso puede realizar diversas acciones en el vehículo al enviar mensajes falsos a las unidades de control. La unidad receptora no puede identificar el mensaje falso y filtrarlo, porque los mecanismos de protección similares no están presentes en la implementación del protocolo CAN. El uso de sumas de comprobación mencionado más arriba ofrece protección contra las interferencias, pero no contra la falsificación o intercepción de mensajes. También es posible que un atacante realice un ataque DoS contra un bloque concreto, lo que provocaría la desconexión del bloque de la comunicación. Además, como los datos se transmiten de forma pública, al acceder al bus es posible escuchar los mensajes transmitidos utilizando un sniffer y comparar los códigos con los comandos que se ejecutan. Aquí se puede hacer una analogía completa con el análisis del tráfico en las redes TCP/IP.

Dado que la red de nodos comunicantes del bus CAN está aislada, es necesario acceder físicamente al bus o al nodo para comprometerlo. Prácticamente todos los coches fabricados en los últimos 30 años disponen de una toma especial para conectar equipos de diagnóstico, el llamado puerto OBD (On-Board Diagnostics). Las unidades de control están equipadas con un mecanismo de autodiagnóstico y pueden registrar códigos de avería provocados por diversos fallos en el coche. Por lo tanto, un punto de entrada potencial para un ataque al bus CAN podría ser la conexión de interfaz de diagnóstico. Por supuesto, para que un ataque tenga éxito es necesario, en primer lugar, incrustar el hardware en el vehículo, en segundo lugar, disponer del software adecuado y, por último, estar cerca del vehículo. Todo esto hace que este escenario de ataque sea improbable, pero hay una vulnerabilidad práctica que vale la pena mencionar. Algunos propietarios de vehículos compran adaptadores de diagnóstico para el uso personal y los dejan permanentemente conectados al vehículo. En este caso, una vez aplicada la corriente, el adaptador queda en modo de espera para conectarse al software de control mediante comunicación inalámbrica - Wi-Fi o Bluetooth. Por supuesto, el riesgo de que alguien pase cerca del coche de este tipo para conectarse al mismo es bajo. E incluso en caso de conectarse, es poco probable que un intruso bloquee los frenos o, digamos, desactive la alarma. Dependerá del programa de control que se utilice y de las restricciones que imponga el propio adaptador de diagnóstico. Sin embargo, como ya se ha señalado, se puede detectar la vulnerabilidad, por lo cual, proporcionarle a un posible atacante un resquicio para el acceso físico a través de la toma de diagnóstico no debería ser una opción. Por cierto, los operadores hacen un seguimiento similar de los vehículos de carsharing.

Y aquí llegamos a la parte divertida. La industria del automóvil, como muchas otras industrias, lleva tiempo inmersa en el Internet de las Cosas. Un vehículo con acceso a la red global ya no es una fantasía, sino algo bastante habitual. Los vehículos modernos utilizan varios sistemas de telemetría, pueden rastrear su propia ubicación y transmitir cualquier parámetro del bus CAN a la fábrica, intercambiar datos con vehículos cercanos para evitar colisiones, actualizar su software interno y mucho más. Esto fue posible sobre todo gracias al rápido desarrollo de las redes inalámbricas. La implementación de estas funciones indudablemente útiles plantea exigencias completamente diferentes a los sistemas de seguridad digital integrados. Al fin y al cabo, un posible atacante ya no necesita tener acceso físico al vehículo. Explotar una o varias vulnerabilidades para esquivar la seguridad integrada en el vehículo permitirá acceder al sistema interno del vehículo, con todas las consecuencias que ello conlleva.

Cada vez son más los fabricantes de automóviles que ofrecen como opción la posibilidad de controlar determinadas funciones del vehículo mediante un smartphone. Algunos ejemplos son el sistema de control y supervisión Mobikey de Hyundai y el InControl de JLR. En la aplicación móvil, el propietario puede seguir la ubicación de su vehículo, abrirlo o cerrarlo, arrancar el motor, controlar el climatizador, el sistema multimedia y mucho más. A pesar de la comodidad de esta funcionalidad, hay que tener en cuenta la vulnerabilidad potencial de este enfoque. Para realizar el control a distancia, cada vehículo de este tipo está equipado con un sistema de telemetría. Los algoritmos de control pueden variar, pero de un modo u otro intervienen tanto la electrónica del coche como los servidores del fabricante. Por ejemplo, en términos simplificados, podría ser lo siguiente. Cuando uno da la orden de desbloquear la puerta del conductor, su aplicación móvil envía una solicitud por Internet al servidor remoto del fabricante del coche. El servidor autentifica la solicitud y envía los códigos de desbloqueo a una de las unidades electrónicas del vehículo, responsable del cierre centralizado y del sistema antirrobo. Todas estas conexiones a través de Internet deben incluir un cifrado seguro, la autenticación de las partes, la protección contra diversos tipos de ataques y otros mecanismos de seguridad. Los errores en la implementación de los algoritmos de control remoto pueden provocar la vulnerabilidad de la conexión y de esta forma un intruso podrá, por ejemplo, enviar su propia solicitud de desbloqueo, que sería aceptada como legítima, o interceptar las respuestas del servidor para su uso posterior. También hay que recordar que la unidad de telemetría está en cualquier caso conectada por un bus común a otras unidades del vehículo, incluidas las unidades críticas. Lamentablemente, estos escenarios no solo existen en papel. En 2015, por ejemplo, unos investigadores lograron hacerse con el control casi completo de vehículos Jeep gracias a una vulnerabilidad en el sistema de telemetría UConnect.

Por cierto, según el concepto de IoT, un coche puede no ser el objetivo final de un ataque, sino sólo un eslabón intermedio. Por ejemplo, la sincronización del sistema multimedia del coche con un smartphone ya es una función conocida. Por lo tanto, para llegar, por ejemplo, a Su lista de contactos, fotos y otra información sensible, o a otro dispositivo que forme parte de tu ecosistema, un atacante podría usar la vulnerabilidad de un coche inteligente como punto de entrada.

Los coches inteligentes con telemetría, gracias a la cual los fabricantes de automóviles saben literalmente todo sobre tu forma de conducir, aún no son muy populares. Pero los propietarios de coches más sencillos, aunque modernos, también deberían ser conscientes del equipamiento digital de sus vehículos. Por ejemplo, desde el punto de vista de la seguridad de la información, los autorradios basados en Android “limpio” suponen un peligro potencial. En primer lugar, son dispositivos en Android normales, lo cual significa que pueden ejecutar y ejecutar malware correspondiente. En segundo lugar, suelen tener conexión con el bus CAN del vehículo. El problema no es muy popular, pero en términos prácticos nada impide que un archivo APK malicioso que contenga un troyano se ejecute accidentalmente en un dispositivo tan vulnerable, lo que comprometería la red de a bordo del vehículo. Cabe señalar que, aunque las unidades principales OEM de los fabricantes de automóviles estén basadas en Android, no suelen permitir iniciar software de terceros.