El punto débil del Tesla

Un consultor de seguridad ha descubierto graves fallos en el sistema del Tesla Model S, que permitirían a un atacante localizar y abrir los coches ajenos
Tesla ha sido la marca que más firmemente ha apostado por el coche eléctrico y la tecnología en los automóviles

El Model S dispone de conexión a internet, lo que representa una puerta de entrada para posibles amenazas

Madrid — 21 de abril de 2014 20:46h

El objetivo confeso de Tesla es producir coches eléctricos asequibles. La compañía ha empezado con los vehículos de alta gama y poco a poco prevé abrirse a un público más mayoritario. Su producto se ha convertido en objeto de deseo para los techies adinerados de Silicon Valley, mientras que la expansión por el resto de Estados Unidos y Europa ha propiciado que ya rueden por las carreteras más de 25.000 unidades.

Es difícil discutirle a Tesla el mérito de haber puesto de moda los coches eléctricos, algo que durante décadas la industria automovilística no se ha decidido a hacer. El nombre de la compañía proviene del científico e inventor de origen croata Nikola Tesla, lo que pretende poner de manifiesto su voluntad de innovación. No en vano sus vehículos han sido de los primeros en integrar una conexión a internet y el Model S cuenta con una pantalla de 17 pulgadas para controlar todo lo relacionado con el coche.

Desde la pantalla se pueden controlar los niveles del vehículo, todo lo que tiene que ver con la mecánica y la batería, pero también se accede al GPS y a la navegación web. La electrónica del coche permite que ciertas funciones se puedan manejar remotamente, por ejemplo desde una aplicación de iOS. La imagen que Tesla ofrece, como creadora de un producto donde se combinan sin fisuras un utilitario como es el automóvil con tecnología punta, resulta atractiva para muchos. Tanto es así que hubo quien no vio descabellado que Apple la pudiera comprar, cuando en febrero aparecieron algunos rumores al respecto.

Elon Musk, cofundador y CEO de la compañía, que fue elegido por la revista Fortune como empresario del año en 2013, confirmó que veía improbable una adquisición por parte de Apple, aunque reconoció haber hablado con ellos, sin decir sobre qué.

Pero no todo es tan bonito en el sofisticado mundo de Tesla. Nitesh Dhanjani, consultor especializado en seguridad empresarial, ha descubierto fallos graves en el sistema que integran los coches. El robo de contraseñas es algo que puede ocurrir, por ejemplo, según el experto, que demanda una mayor protección.

Los riesgos de un coche conectado a la Red

Los coches son ‘dispositivos’ nuevos en lo que se refiere a su entrada en internet y esto puede hace que sean vulnerables. Los fabricantes de automóviles carecen de toda la experiencia sobre seguridad acumulada por los fabricantes de hardware a lo largo de los años. Lo primero que ha llamado la atención de Dhanjani ha sido la debilidad de la contraseña Tesla.

Para pedir un coche antes de comprarlo hay que registrarte en la web de la compañía. El sistema sólo pide a los clientes una contraseña de seis dígitos, con al menos una letra y un número. Una entregado el vehículo, con estos datos se entra en la aplicación de iOS y se puede abrir el coche, ver cuál es su localización y el estado de su batería.

Según el consultor de seguridad, la cuenta es vulnerable a ataques de fuerza bruta, pues Tesla no tiene ninguna política de bloqueo para los intentos fallidos de inicio de sesión. De manera que una máquina podría probar millones de combinaciones sin que se bloqueara la cuenta. Un atacante también podría robar la contraseña del sistema de Tesla mediante un ataque de phishing. De estas dos formas se podría acceder al sistema a través de la aplicación de iPhone, con los privilegios que esto conlleva.

Dhanjani cree insuficientemente protegidos estos privilegios sólo con una contraseña. No en vano cualquier usuario con acceso temporal al mail del propietario podría restaurarla. Además, los empleados de Tesla pueden abrir el coche remotamente, no se sabe qué datos tiene que facilitar el usuario, pero deberían ser lo suficientemente exhaustivos como para identificar al verdadero propietario frente a técnicas de ingeniería social que traten de suplantarlo.

El uso de aplicaciones de terceros es otro de los fallos que Dhanjani pone sobre la mesa. Para utilizar este tipo de software los usuarios deben ingresar sus datos de acceso al sistema Tesla, que serán invocados cada vez que se use la aplicación. Por tanto, estos terceros tendrán las credenciales de los usuarios y el consultor en seguridad teme que pueda haber algunos que se dediquen a recopilar información de los clientes. Esto sin contar con que una de estas compañías desarrolladoras sufra un ataque y se produzca un robot de datos.

Sobre esta cuestión, Tesla ha anunciado que piensa lanzar un SDK para solventarla. Por último, Dhanjani también señala que la red interna del coche queda expuesta si se conecta un portátil mediante un adaptador.

Las amenazas de seguridad que penden sobre el Tesla y otros coches conectados, también se pueden aplicar a internet de las cosas. Cuantos más dispositivos –ya sean termostatos, luces, smart TV, smartwatch o similares– haya conectados más probabilidades hay de que sufran un ataque. A veces la infección se puede producir sin que los atacantes lo planifiquen siquiera, como parte de una operación masiva. Así ocurrió con hace unos meses, cuando se detectó que una red de envío de spam que contaba entre sus bots a una nevera. El ataque fue dirigido a cualquier equipo conectado (una denominación en la que ya se incluyen electrodomésticos o televisores) con un determinado software.

Imagen: jurvetson

Etiquetas