Un hacker empezó a preocuparse porque a lo largo de los últimos meses están saltando diversas alertas de seguridad en torno a los coches modernos. Porque cada vez son más los que están siempre conectados a Internet y disponen de cosas como una app de control remoto que permite abrir y cerrar el coche, poner y quitar el climatizador o tocar el claxon, por ejemplo. A raíz de esto empezó a investigar y encontró que muchas marcas se basan en servicios de una misma empresa. Y encontró que casi todas ellas estaban afectadas por una grave vulnerabilidad por la que fue posible ‘hackear’ cualquier coche de forma remota y con una facilidad realmente preocupante.
Sam Curry es el ‘hacker’ en cuestión. Es un ingeniero de seguridad de Yuga Labs que ha descrito cómo, junto a su equipo de seguridad, consiguieron tener acceso completo a coches de Nissan y de algunos otros fabricantes de automóviles aprovechando un gravísimo fallo de seguridad a partir de la conectividad de estos vehículos con los servidores de SiriusXM. Y es que, como comenta en el desarrollo del fallo de seguridad, esta compañía maneja diversos servicios de conectividad y telemática para algunos de los principales fabricantes de automóviles entre los que se encuentran Nissan y Honda, entre algunos otros. Así que, aunque el problema no es específico de las marcas de coches afectadas, sí que lo comparten por el hecho de que esta empresa presta sus servicios a varias compañías del sector del automóvil.
Basta saber el VIN para abrir y arrancar cualquier coche como si tuvieran las llaves en la mano
Gracias a este fallo de seguridad el equipo consiguió tener información sobre la localización del coche en tiempo real, arrancar el motor del vehículo, abrir las puertas de manera remota y otras cosas como tocar el claxon o encender y apagar las luces. En definitiva, este fallo de seguridad permitía controlar el vehículo de otra persona exactamente igual, y con las mismas funciones, que la propia aplicación de control remoto de sus usuarios y propietarios. La única información que se necesitaba conocer es el VIN del vehículo, que es algo bastante sencillo de conseguir.
Para que te puedas hacer una idea, el VIN de un coche se puede ver, en cualquiera de ellos, en la parte baja del parabrisas. Así que con solo conocer esta información, por un problema de SiriusXM, podían controlar de forma completa cualquier vehículo. Y este tipo de vulnerabilidades no son algo nuevo sino que cada vez es más frecuente. Como sabrás, hace apenas unas semanas se hizo viral en TikTok una sencilla técnica que permitía robar cualquier coche de KIA y Hyundai con solo un cable USB y un destornillador.
Afortunadamente, el grave problema de seguridad de SiriusXM se puso en conocimiento de la compañía afectada, y antes de que esta información se hiciera pública se tomaron medidas desde los servidores de la propia empresa que presta los servicios a marcas como Nissan. Es decir, que aunque ha sido ahora cuando la información se ha hecho pública, y hemos podido conocer que esta vulnerabilidad se ha mantenido disponible por algún tiempo, ahora mismo ya está resuelta. Lo que no sabemos es si existirá algún otro tipo de agujero de seguridad que todavía no se ha hecho público y está esperando a ser resuelto.
Curiosamente, aunque modelos de Lexus y Toyota también utilizan SXM Connected Services, que son los que se han visto afectados por esta vulnerabilidad informática, por la forma en que la marca japonesa tiene de integrar los servicios, no se han visto afectados en ningún momento. Es de sobra conocido que en Lexus y Toyota son bastante más lentos que sus competidores en integrar determinadas tecnologías a nivel de hardware y de software. Pero son más lentos precisamente porque cuentan con algunas capas adicionales de seguridad con la intención de evitar que se puedan sufrir problemas de este tipo.