Álvaro García M.
EditorHace unos días, un llamado "hacker ético", ingeniero de profesión, reveló las vulnerabilidades de las balizas V16 que serán obligatorias para todos los conductores españoles. Más en concreto de la Help Flash IoT que comercializa Vodafone.
Y aunque la teleco ofreció explicaciones al respecto, no parecen haber sido suficientes. Y es que, si comparamos los estándares de seguridad de estas balizas con los que tienen accesorios inteligentes compatibles con dispositivos Apple, se demuestra que los estándares seguridad aplicados son muy mejorables.
La seguridad de las balizas V16, al desnudo
Imagen: DGT
El análisis de seguridad realizado con la baliza Help Flash IoT descubrió múltiples fallos graves. En primer lugar, que la baliza transmite información sensible como las coordenadas y el IMEI del dispositivo en un texto plano sin cifrado alguno.
La baliza V16 no te espía, pero este nulo cifrado sí puede provocar que cualquier persona, con conocimientos y medios adecuados, pueda interceptar los datos y conocer la posición exacta del vehículo en tiempo real. Además, la conexión entre la baliza y la red de la DGT no cuenta con una autenticación adecuada ni protección criptográfica, por lo que se abre la puerta a la manipulación o falsificación de la información.
Otra vulnerabilidad está en las actualizaciones de firmware, las cuales se gestionan en algunos casos mediante protocolos inseguros y sin verificar la autenticidad del software. Según el hacker, esto podría permitir la instalación de software malicioso en la baliza de forma remota.
También se alerta sobre la posibilidad de que se realicen ataques desde torres de telefonía falsas o interferencias de la red, que podrían interceptar, manipular e incluso bloquear las comunicaciones de las balizas. Y todo ello, dejando en tela de juicio la utilidad de este dispositivo, que no es otro que el de indicar nuestra posición en carretera a la DGT para recibir, si es preciso, ayuda por parte de las autoridades.
Lo que exigen HomeKit y Matter en términos de seguridad
HomeKit es el estándar de conectividad de Apple para accesorios inteligentes que luego se pueden gestionar a través del iPhone, iPad, Mac e incluso Apple TV y HomePod. Y si destaca por algo es por imponer unas férreas barreras de seguridad.
Un fabricante que quiera que su accesorio (bombilla, persianas, termostato, lo que sea) sea compatible con HomeKit debe estar inscrito en el programa de certificación MFi (Made for iPhone/iPad) de Apple. Y eso implica cumplir con una serie de requisitos técnicos y de seguridad muy estrictos, incluyendo el uso de protocolos de cifrado avanzados para proteger la comunicación entre el dispositivo y el accesorio.
Cada accesorio debe implementar un sistema seguro de autenticación para garantizar que solo los dispositivos autorizados puedan controlarlo. Además, el proceso de emparejamiento utiliza códigos únicos y cifrados de extremo a extremo que evitan que haya terceros pudiéndolos interceptar o manipulando la cconexión.
Matter es otro estándar universal de reciente adopción que, en este caso, permite que haya accesorios que puedan ser compatibles con dispositivos de Apple y otras compañías. Es una garantía de que podrán usarse con dispositivos Apple mediante HomeKit, con móviles Android mediante Google Home o con dispositivos de Amazon. Y sí, también tiene férreos sistemas de seguridad.
Este estándar, en su misión de facilitar la interoperabilidad entre diferentes plataformas, parte de los códigos de seguridad de Apple, que fue una de las impulsoras del mismo. Así que también exige cumplir estrictos requisitos de cifrado y autenticación. Y todo pasa por el certificado DAC (Device Attestation Certificate).
Esa certificación implica que cada dispositivo cuente con una identidad única y verificable desde su fabricación, lo que impide que productos no autorizados puedan conectarse a la red. Además, garantiza que todos los datos estén cifrados y protegidos frente a posibles ataques y manipulaciones de terceros.
Un mundo de diferencia entre balizas y accesorios inteligentes
La principal diferencia con lo ocurrido en las balizas V16 es que tanto HomeKit como Matter incorporan la seguridad como un requisito de base. Eso implica tener que pasar un proceso de certificación riguroso, pero a cambio de garantizar que los accesorios tienen una identidad digital única y que todas las comunicaciones están cifradas.
En las balizas analizadas, la información sensible se transmite sin cifrar y sin mecanismos que verifiquen su origen, dando la posibilidad de interceptar, suplantar y manipular unos datos que en accesorios con HomeKit y Matter no se podría dar. Y evidentemente, esto representa un riesgo para la privacidad y seguridad de los usuarios.
También la ausencia de un sistema eficaz para verificar las actualizaciones de firmware y proteger las claves de conexión en las balizas supone una pega importante a efectos de seguridad. Y es que eso facilita que los posibles atacantes comprometan el correcto funcionamiento del accesorio en situaciones de emergencia.
Lógicamente, no se puede reclamar que los fabricantes de balizas V16 acepten estándares como Matter o HomeKit. No tendría sentido porque técnicamente no hace falta conectarlos a otros dispositivos como el iPhone (aunque hay balizas controlables desde apps). Sin embargo, sí es exigible que imiten el funcionamiento de esos accesorios para garantizar la seguridad del usuario.
Al final no podemos olvidar que, polémicas aparte, el objetivo de las balizas V16 es no solo el de enviar señales luminosas que indiquen nuestra posición a otros vehículos, sino también poder comunicar a la plataforma DGT 3.0 dónde nos encontramos. Y que ese proceso pueda impedirse o ser accesible por terceros, es un serio problema.
Vía | Xataka Móvil
En Applesfera | Las balizas V16 son obligatorias, pero no lo son todo: tengo este atajo en el iPhone para ayudarme en cualquier emergencia en carretera
En Applesfera | Apple AirTag 2: todo lo que creemos saber sobre la nueva generación del localizador más popular
Ver 0 comentarios