Cibercriminales robaron los datos y espiaron a los usuarios de estas marcas de coches
Cibercriminales puedieron explotar fallos en las unidades de infoentretenimiento de coches Volkswagen y Škoda para vulnerar la privacidad de los usuarios de distintas formas, de acuerdo con los expertos en ciberseguridad de ESET, con base en una investigación de PCAutomotive publicada en Black Hat Europe.
[TE RECOMENDAMOS: Cibercriminales atacaron a usuarios de esta marca de coches… ¡podían rastrear a los conductores!]
¿Cómo vulneran la privacidad de los automovilistas?
Los investigadores detallaron al menos cinco formas en que los atacantes vulneraron a los sistemas de infoentretenimiento de ciertas marcas de automóviles:
- Controlaban el micrófono del vehículo
- Grababan a los ocupantes y reproducen la grabación a través del mismo sistema
- Exfiltraban datos personales
- Rastreaban el coche y la velocidad a través del GPS integrado
- Robaban la lista de contactos cargada mediante un dispositivo conectado
Cabe destacar que el infoentretenimiento es la visualización simple de información importante del vehículo, de acuerdo con la fabricante de neumáticos Continental AG.
“Desde la navegación vía satélite hasta los sistemas avanzados de ayuda a la conducción, las tecnologías modernas ya garantizan el registro de todos los datos importantes del vehículo, se lo ofrecen al conductor y lo vinculan con servicios de Internet”.
Continental
Los sistemas de infoentretenimiento tienen la intención de brindar una mayor comodidad, eficacia y control sobre el entorno vehicular para los conductores, según complementó la compañía alemana.
¿Qué marcas de coches fueron afectadas por esta vulnerabilidad?
Dos de los fabricantes afectados fueron Volkswagen, automotriz alemana, y Škoda, cuya empresa matriz es, precisamente, la misma Volkswagen, según la investigación publicada en Black Hat Europe. El sistema con la vulnerabilidad fue el MIB3.
Las vulnerabilidades descritas por el equipo de PCAutomotive afectaron a al menos 1.4 millones de vehículos; sin embargo, las 21 vulnerabilidades encontradas y resueltas con software actualizado a través de los fabricantes afectados.
Las posibilidades de abuso de estas vulnerabilidades daban oportunidad para que una persona controladora pudiera seguir a su pareja accediendo a sus contactos y otros datos a través del sistema de infoentretenimiento sin el conocimiento de la víctima.
También daban pie a casos de espionaje, ya que cibercriminales podían explotar este tipo de pirateo para la vigilancia y recopilación de información a gran escala, según los investigadores.
Así funcionó el hackeo masivo a automóviles
Cuando el usuario conectaba su smartphone por primera vez al sistema de infoentretenimiento de su coche, aparecía la opción para cargar y sincronizar sus contactos directamente, permitiendo acceder a los contactos en la pantalla de la consola del vehículo y realizar llamadas, según ESET.
Los investigadores descubrieron que, al cargar una lista de contactos modificada, los ciberatacantes eran capaces de explotar una vulnerabilidad del sistema y emitir comandos a distancia.
Una vez en el sistema, los atacantes tenían la capacidad de controlar algunos elementos y exfiltrar los datos obtenidos, según la investigación publicada el pasado 12 de diciembre.
Recomiendan estar al pendiente sin entrar en pánico
ESET reconoció que los sistemas de infoentretenimiento deberían seguir implementándose sin inconvenientes, sin que esta vulnerabilidad signifique un factor en contra para la confianza del público.
“No debemos infundir miedo a la tecnología, sino abrazar su evolución. Los fallos y las correcciones posteriores forman parte de la evolución, y debemos abordar el cambio con un sentido de apertura pero también con cierta cautela”
ESET
Sin embargo, también hizo un llamado a no minimizar los impactos de este tipo de ataques, pues aunque solo signifique consecuencias para la privacidad del usuario, y no altere las funciones del coche para ocasionar accidentes, no implica que no sea peligroso.
