Un equipo de investigadores de la Universidad de Birmingham (Inglaterra) ha descubierto un error informático que permite losvehículos puedan ser abiertos y también arrancados sin necesidad de usar las llaves originales de los mismos. El bug pone en peligro a más de 100 millones de coches. El informe fue presentado en el Simposio de Seguridad Informática USENIX 2016 celebrado en Austin, Texas (EE.UU.).

Los expertos ingleses mostraron la existencia de dos grandes fallos de seguridad en los sistemas de ignición y de entrada de diversas marcas, pero afectan sobre todo a todos los modelos de la marca Volkswagen de los últimos 20 años, a algunas de sus marcas como Audi y Skoda, pero también a otros fabricantes conocidos como Nissan, Alfa Romeo, Citröen, Fiat, Ford, Mitsubishi, Opel o Peugeot, todos ellos fabricados a partir de 1995.

¿Cómo funciona el hackeo?

Dos ataques separados perjudican a distintos modelos. El primer fallo se encuentra en el sistema de encendido. No es sencillo, pero es posible que un hacker averigüe las claves de cifrado que, por lo general, tienen una clave única y otra compartida. La clave compartida es fácil de obtener. Así, para los coches del grupo Volkswagen, las señales que intercambia la llave del vehículo con el propio vehículo pueden ser interceptadas y clonadas mediante una placa de Arduino y un simple receptor de radio. La placa, haría las veces de llave.

El segundo fallo está en el antiguo esquema criptográfico denominado HiTag2, aún en uso. HiTag2 es un sistema criptográfico que se encarga de generar los ocho códigos del mando a distancia que abre el vehículo de forma aleatoria y que se modifican cada vez que se le da al botón. Ninguno de los coches posee un sistema de alarma ante este tipo de ciberataque.

Desde Volkswagen descartaron que un hacker pueda robar un coche (sí abrirlo pero no arrancarlo). Esto es, el grupo Volkswagen reconoció dichas vulnerabilidades pero afirmó que no necesariamente podrían arrancar el coche y llevárselo. Por su parte, Opel comunicó que el sistema dehackeo requiere de mucha complejidad técnica, por lo que las oportunidades para llevarlo a cabo son muy limitadas.