Aplicaciones para automóviles: ¿quién tiene las llaves de tu coche?

La mayoría de las aplicaciones de terceros para coches requieren un acceso a tu cuenta. ¿Esto es seguro?

Hoy en día, la tecnología está tan avanzada que cualquier coche actual es una computadora sobre ruedas; la mayoría de ellos con acceso a internet. Por ello, además de sus propios vehículos, los fabricantes de autos han desarrollado aplicaciones para controlarlos a distancia y volvernos, así,  la vida más fácil: puedes verificar dónde está ubicado tu coche, prender el aire acondicionado o la calefacción, bloquear y abrir puertas, etc.

No obstante, cada usuario tiene necesidades personales y específicas, por lo que no es posible reunir todas las funciones en una sola aplicación. Por ello, además del software de los fabricantes de automóviles, ya existen aplicaciones de terceros para todo tipo. Claro, son cómodas y útiles. ¿Pero son seguras? Nuestros expertos decidieron investigar un poco…

¿Quién conduce tu coche?

Para que el coche sepa que eres tú quien utiliza la aplicación, tienes que introducir un nombre de usuario y una contraseña. La aplicación oficial del propio fabricante tiene la ventaja de que tus datos personales no son enviados a terceros. Además, los fabricantes de coches deben corroborar que cumplen con las normas de seguridad de sus productos.

Si eliges una aplicación de terceros con algunas características en específico, con las que no cuenta la versión oficial, esta, de alguna manera, necesita acceder al vehículo y/o a sus datos de telemetría. Algunas aplicaciones ofrecen soluciones desarrolladas especialmente por el fabricante para este fin, las cuales no necesitan tus datos y tienen un acceso limitado al vehículo, lo que te permite utilizar sus funciones, pero les impide llevar a cabo acciones que podrían ser peligrosas como desbloquear las puertas. Dichas aplicaciones son más o menos seguras, pero casi que se pueden contar con los dedos de una mano.

La mayoría de las aplicaciones que se conectan a un coche te piden un nombre de usuario y la contraseña de tu cuenta con el fabricante; o sea, un acceso completo a tu cuenta. Además, los requisitos de seguridad que se aplican a los fabricantes de automóviles no se extienden a estas apps, y es aquí donde nace el problema.

La confianza lo es todo

El estudio se centra en las aplicaciones móviles de terceros que utilizan la cuenta con el fabricante que creó el dueño del vehículo. Desgraciadamente, la mayoría de los desarrolladores de aplicaciones no advierten a los usuarios sobre los riesgos de facilitar el acceso a la cuenta. Los que sí lo hacen, aseguran que o no guardan la información en ningún lado, o bien, la almacenan de forma cifrada. Algunos subrayan que el nombre de usuario y la contraseña solo son necesarios para obtener un código de autorización. Sin embargo, un código permite a cualquier persona utilizar la cuenta en tu nombre, de igual forma que con tus datos de inicio de sesión, y también podría filtrarse si se almacena de forma inadecuada. Además, no hay forma de comprobar cómo manejan estos datos en realidad: o confías ciegamente en los desarrolladores o no utilizas la aplicación.

Además, los desarrolladores del 14 % de las aplicaciones que nuestros investigadores investigaron, resultaron, misteriosamente, imposibles de contactar en caso de un problema: los datos de contacto en sus sitios web eran erróneos o dirigían a perfiles de redes sociales eliminados.

Esta situación es muy similar a la de los servicios web: el usuario entrega sus datos sin saber a ciencia cierta cómo serán almacenados ni procesados. En este sentido, las soluciones de código abierto son más transparentes: los usuarios con conocimientos técnicos pueden, al menos estudiar el código. Sin embargo, para la gente que no tiene estas habilidades, será muy complicado entenderlo.

Otro problema es que existen también servicios de intermediarios que conectan los sistemas del fabricante de automóviles con aplicaciones de terceros. Los desarrolladores de dichas aplicaciones tienen conciencia de lo que ofrecen y usan, pero puede que los usuarios no tengan ni idea de ello. Y es importante entender que, si la aplicación para automóviles de terceros que has elegido funciona a través de un servicio intermediario, los desarrolladores de ambos pueden quedarse con tus datos.

Aplicaciones de terceros que acceden a tu coche: ¿cuál es el riesgo?

Si tus datos no están bien protegidos, los intrusos pueden acceder a ellos. Seguramente no te robarán el coche, pero pueden controlar a distancia algunos sistemas: puertas, ventanas, clima, claxon, faros, etc. Si un intruso empieza a tocar el claxon o a encender las luces de forma aleatoria mientras conduces, además de resultar molesto, puede ser también peligroso.

Esto nos lleva a imaginarnos una escena tipo James Bond: ¿quién rayos querría acabar contigo de una manera tan elaborada? Pero si esos datos se filtraran al dominio público, podrían caer en manos equivocadas en cualquier lugar del mundo. La mayoría de ellas solo buscan divertirse, pero no se percatan que sus actos podrían tener terribles consecuencias.

Además, si una aplicación es hackeada, los atacantes tendrán acceso a todos los datos recogidos, incluyendo la geolocalización. Y esto puede ser usado para rastrear los movimientos de los propietarios de los coches, una vez más, desde cualquier lugar del mundo.

Un ejemplo actual de esto viene de un experto en seguridadllamado David Colombo de 19 años. Este joven descubrió casualmente una vulnerabilidad en la aplicación TeslaMate que recoge, almacena y visualiza los datos de telemetría de los autos Tesla. Colombo pudo averiguar dónde vivían los propietarios de los coches, por dónde conducían, a qué velocidad, dónde se estacionaban, dónde se cargaban y qué configuraciones tenían instaladas en sus coches.

Aunque la aplicación fue diseñada solo para recopilar datos y no para controlar el coche, Colombo consiguió justamente eso. Y todo debió a que el almacenamiento que contenía los datos del usuario era accesible con la contraseña por defecto, mientras que parte de la información podía recuperarse sin autorización alguna. Colombo informó del problema a los desarrolladores de la aplicación, quienes lo solucionaron con cierta rapidez. A pesar del final feliz, la moraleja del día es, que las aplicaciones de terceros para el coche pueden no ser tan confiables como afirman sus desarrolladores.

¿Debería dejar de usar aplicaciones de terceros?

El objetivo de este artículo no es decir que las aplicaciones de terceros no deben utilizarse nunca. No todos los desarrolladores ignoran la seguridad de los datos de los usuarios. Como ya vimos, los creadores de TeslaMate respondieron rápidamente al informe de vulnerabilidad y dieron solución al problema. Y por supuesto que hay aplicaciones que no requieren de un acceso completo a tu cuenta con el fabricante de automóviles.

Si quieres utilizar funciones no disponibles en la aplicación oficial de tu vehículo, ten cuidado a al momento de elegir una aplicación de terceros: si es posible, elige una de un desarrollador confiable, transparente y que, como mínimo, no oculte sus datos de contacto. Busca información de expertos en seguridad y opiniones de usuarios expertos en tecnología que entiendan cómo funciona y cuáles son los riesgos para tomar en cuenta.

Y, si ya usas una aplicación de terceros y quieres dejar de hacerlo, ten en cuenta que con desinstalarla de tu smartphone no siempre basta…

  • Comprueba si también tienes que darte de baja o eliminar tu cuenta con ese servicio.
  • Cambia la contraseña de tu cuenta con el fabricante de automóviles. Más vale prevenir.
  • Si es posible, bloquea el acceso de la aplicación a tu cuenta a través del sitio web del fabricante o del servicio técnico.

Más probado. Más premiado.

 

Consejos