Un problema de seguridad afecta a las llaves de millones de coches

Millones de coches fabricados en las ¨²ltimas dos d¨¦cadas emplean mandos a distancia cuya seguridad ha quedado en entredicho cuando un grupo de expertos ha desvelado nuevas t¨¦cnicas que, con un montaje electr¨®nico de unos 35 euros y algo de software, permiten abrir veh¨ªculos limpiamente en unos pocos minutos.

La intriga tras unos cuantos casos de robos de veh¨ªculos calificados inexplicables y el gusto por curiosear los sistemas de protecci¨®n de sus propios veh¨ªculos llev¨® a un grupo de investigadores a publicar un trabajo sobre la seguridad de los sistemas de apertura y desbloqueo mediante llaves electr¨®nicas con los que las grandes marcas equipan sus veh¨ªculos. Y los ha puesto en entredicho. El trabajo, titulado Ci¨¦rrelo y pi¨¦rdalo: sobre la (in)seguridad de los sistemas de apertura en autom¨®viles, se ha presentado en el 25? Simposio de Seguridad Usenix hace unos d¨ªas. El estudio se puede leer al completo en formato PDF en la web del simposio.

Una historia de guerras criptogr¨¢ficas

El primer ataque exitoso que se public¨® respecto a las llaves modernas data de 2005 y afectaba a los coches que usaban electr¨®nica de Texas Instruments; en 2012 se public¨® otro sobre c¨®mo vulnerar el sistema criptogr¨¢fico Hitag2 de NXP empleado por diversas marcas (Alfa Romeo, Chevrolet, Peugeot, Lancia, Opel, Renault y Ford) al que siguieron otros. Incluso hay coches vendidos en 2000 que todav¨ªa usan un m¨¦todo de se?ales de radio m¨¢s directo: enviar un simple c¨®digo a trav¨¦s de una banda de radiofrecuencia est¨¢ndar, algo parecido a lo que se utiliza en mandos de garaje y juguetes.

Las llaves m¨¢s avanzadas utilizan chips RFID como los que hay en los antirrobos de las tiendas y en algunos sistemas de acceso a edificios

A d¨ªa de hoy, clonar o imitar esos mandos a distancia resulta muy sencillo. Por suerte en muchos coches los sistemas de apertura e inmovilizaci¨®n est¨¢n separados; de este modo, aunque el primero falle quien tenga una llave clonada no puede mover el coche por las buenas. Pese a ello, en algunos casos se puede utilizar una sola vez un c¨®digos robado; en esos casos, los cacos pueden llevarse el coche a cualquier lugar y una vez all¨ª cambiar tranquilamente todos los sistemas de cierre y seguridad. O a veces, incluso, reprogramar en el coche una nueva llave.

Generalmente la apertura del coche requiere del cl¨¢sico mando-llave y pulsar un bot¨®n. Pero las llaves m¨¢s avanzadas utilizan chips RFID como los que hay en los antirrobos de las tiendas y en algunos sistemas de acceso a edificios. Muchos coches de lujo cuentan con llaves llamadas "de ignici¨®n pasiva" que simplemente requieren que la llave (o tarjeta) est¨¦ a menos de un metro del coche. Estos coches ni siquiera necesitan de llave mec¨¢nica de encendido; para casos de emergencia tienen a veces una cerradura mec¨¢nica oculta tras una tapa de pl¨¢stico, por si el coche se quedara sin bater¨ªa por alguna raz¨®n. En este tipo de mandos sin llave ni siquiera hay que pulsar un bot¨®n para abrir o cerrar el coche, basta con alejarse de ¨¦l.

El problema principal es que en los sistemas de apertura de los coches corrientes la seguridad suele ser vulnerable a cierta distancia o incluso utilizando un equipo que haga de repetidor entre la llave y el veh¨ªculo. Aunque la llave est¨¦ lejos del coche, ese equipo puede llevar las se?ales amplificadas a mayor distancia, quiz¨¢ interfiriendo de paso con el mando original para hacer que el propietario pulse el bot¨®n varias veces. Cuando se descubri¨® esta triqui?uela hubo quien recomend¨® como mejor idea meter el mando del coche en el congelador de la nevera, que actuar¨ªa como jaula de Faraday aislante.

La nueva amenaza

En su trabajo, los investigadores explican c¨®mo fabricar con piezas baratas un peque?o aparato con el que inhibir las se?ales de radiofrecuencia y recibir los c¨®digos secretos. Tras procesarlas con software criptotr¨¢fico es capaz de dar con la clave maestra que puede usarse para clonar el mando y emularlo para lograr abrir los veh¨ªculos.

El hardware es un peque?a placa electr¨®nica Arduino programable, una peque?a antena con un alcance de 100 metros y una pila de 9 voltios. Se puede comprar en cualquier tienda por unos 35 euros y programarla conect¨¢ndola a un PC. Al usar el aparato parte del trabajo lo realiza un port¨¢til convencional, que en unos minutos analiza todas esas claves hasta dar con la clave maestra.

Los autom¨®viles afectados incluyen los del Grupo Volkswagen (Seat, Skoda, Audi) desde 1995. Pero muchas otras marca sufren esta vulnerabilidad: un montaje similar puede usarse para clonar los mandos de diversos modelos de Alfa Romeo, Chevrolet, Mitsubishi, Peugeot, Lancia, Opel, Renault y Ford

Los autom¨®viles afectados incluyen los del Grupo Volkswagen (Seat, Skoda, Audi) desde 1995. Pero muchas otras marca sufren esta vulnerabilidad: un montaje similar puede usarse para clonar los mandos de diversos modelos de Alfa Romeo, Chevrolet, Mitsubishi, Peugeot, Lancia, Opel, Renault y Ford, que utilizan el sistema Hitag2.

Una de las razones de que toda la operaci¨®n sea m¨¢s f¨¢cil de lo debido es que, seg¨²n explican, Volkswagen viene usando desde hace dos d¨¦cadas un reducido n¨²mero de claves maestras a nivel mundial. Lo ¨²nico que tienen que hacer los atacantes es capturar un solo c¨®digo de apertura (a veces tres o cuatro) y armados con esas claves maestras descifrarlo en unos minutos con un port¨¢til para simular con el aparato el mando original.

?Qu¨¦ hacer ahora?

Los autores del trabajo informaron de su descubrimiento al Grupo Volkswagen en noviembre de 2015, envi¨¢ndoles tanto un borrador como la informaci¨®n completa. El fabricante reconoci¨® que esa vulnerabilidad exist¨ªa. Otro tanto sucedi¨® con NXP y su sistema Hitag2. El descubrimiento se publicar¨ªa pero los autores prefirieron no incluir las claves maestras, algunos del los algoritmos de descifrado y parte de la ingenier¨ªa inversa que realizaron. Tanto Volkswagen como NXP cuentan ya con otros sistemas que van incorporando en los nuevos coches, aunque por desgracia hay literalmente millones de veh¨ªculos con los sistemas de apertura vulnerables (solo en Volkswagen afecta a m¨¢s de 100 millones).

La recomendaci¨®n de momento es no dejar objetos valiosos en el coche so pena de encontrarse con que han sido robados mediante alguno de estos m¨¦todos por alg¨²n ladr¨®n t¨¦cnicamente competente. Tradicionalmente se recomienda comprobar el cierre del coche esperando al sonido y luces t¨ªpicas; si al abrirlo el mando no funciona a la primera o tras varios intentos es sospechosamente probable que alguien haya intentado abrir el coche, igual que si el mando queda bloqueado misteriosamente. El otro consejo que dan los autores es directamente anular el mando a distancia y utilizar ¨²nicamente la apertura mec¨¢nica con la llave f¨ªsica, aunque no sea tan c¨®modo.

¡°?Cerrarlo o perderlo? ?Mejor eliminar la llave¡± dicen a modo de lema. Tampoco es que resulte muy c¨®modo lo de guardar las llaves en el congelador (u otro tipo de caja o funda met¨¢lica) pero podr¨ªa servir. Al final, como casi todo en la vida, depende un poco del grado de paranoia de cada cual: se puede recurrir a algunas medidas en lugares peligrosos, pero viviendo en sitios tranquilos o remotos es m¨¢s improbable que suceda un robo tan elaborado.

Debido al volumen de veh¨ªculos afectos parece improbable que los fabricantes actualicen todos los mandos de los veh¨ªculos en circulaci¨®n, puesto que con el tiempo esto sucede de forma natural al renovarse el parque m¨®vil. De momento, lo que los curiosos investigadores han demostrado es que no siempre las innovaciones m¨¢s modernas son las m¨¢s fiables en temas de seguridad.