Son muchas las ventajas que los autos inteligentes ofrecen a sus usuarios. La mayoría se relacionan con información adicional que puedes obtener del vehículo y cómo algunas características pueden funcionar mediante control remoto. No obstante, como suele pasar, estas nuevas oportunidades traen a su vez nuevas amenazas. Algunas de ellas se asocian con varios servicios y aplicaciones que pueden usar los propietarios de los autos, pero estas no son desarrolladas por un proveedor oficial, sino por empresas de terceros. En fechas recientes, nuestros compañeros examinaron algunas aplicaciones y servicios populares de este tipo y, en términos de seguridad, pudieron detectar las principales deficiencias que puedes ver en nuestro blog Securelist. En el informe se describen los puntos débiles de las aplicaciones desde el punto de vista del usuario final. Sin embargo, algunas conclusiones que se pueden extraer de este trabajo son también interesantes para los desarrolladores de software.
Defectos comunes en estas aplicaciones para autos
La mayoría de las aplicaciones sirven como puente entre el propietario y el servicio del fabricante de automóviles. Usualmente requieren una contraseña y un inicio de sesión (o un código de autorización) para dichos servicios. En otras palabras, los propietarios de los autos dan sus “llaves digitales” al desarrollador de software, y no todos los usuarios son conscientes de esto. Estos son los errores más comunes que se encontraron:
Falta de transparencia
En la relación entre desarrolladores y usuarios la confianza es primordial. Por ello, es vital informar al usuario de manera clara y explícita que:
- La aplicación utiliza la cuenta de cliente del servicio original;
- no almacena esta información (o lo hace de forma encriptada);
- el código de autorización también permite el acceso a una serie de funciones del vehículo;
- al utilizar la aplicación, el usuario acepta la posibilidad de exponerse a un riesgo adicional.
Falta de comunicación con los desarrolladores
Es muy usual que los desarrolladores de software dejen un canal abierto para los comentarios o consultas de los usuarios. Claro que no es realista esperar un soporte técnico 24/7 por parte de los autores de aplicaciones gratuitas, pero en el caso de aplicaciones que pueden interferir en el funcionamiento del auto conectado, debería haber al menos algún medio de comunicación en caso de imprevistos relacionados con la seguridad del vehículo o del conductor.
Mala gestión cuando finaliza la relación
Cuando un cliente elimina tu aplicación, no existe la manera de conocer el motivo real de su decisión. Puede que ya no necesite tus servicios o que simplemente quiera cambiar de dispositivo. En el primer caso, sería útil recordar al usuario que debe cancelar la suscripción y/o eliminar la cuenta. También estaría bien aconsejarle que cambie la contraseña en el servicio del fabricante o que restablezcan el código de autorización. Esto denostará tu compromiso con la seguridad y la privacidad del usuario y, también, te quitará de encima cualquier responsabilidad innecesaria.
Consejos adicionales
Nadie quiere que su aplicación permita a algún ciberdelincuente atacar el auto del usuario final. Por esto, nuestros expertos aconsejan a los desarrolladores de aplicaciones para autos inteligentes a tomar medidas de precaución para no comprometerse a sí mismos, ni a sus clientes. Algunos consejos prácticos:
- Incluye soluciones aseguren el proceso de desarrollo de software mediante el control de las aplicaciones en tiempo de ejecución, el escaneo de vulnerabilidades antes de su lanzamiento, el examen de rutina de la seguridad de los contenidos y las pruebas antimalware de los archivos de producción.
- Implementa mecanismos de seguridad en la propia aplicación.
- Realiza una auditoría de seguridad de las soluciones antes de salir a la venta al mercado.