Miles de camiones podrían ser hackeados, asegura un investigador de Barcelona
08/03/2016Publicat a: El Confidencial
"Podría bloquear un camión en medio de la M-30" explica José Carlos Norte, un investigador español que ha descubierto lo frágiles que son los aparatos TGU que llevan camiones, autobuses, taxis o furgonetas para recibir órdenes de la central. Una marca en concreto, C4max, muy usada en España, Francia y Marruecos, no lleva ni siquiera contraseña para conectarse a Internet. Un hacker podría, desde su casa, saber por dónde está circulando un camión o mandarlo a dónde quisiera.
José Carlos Norte https://www.linkedin.com/in/jcarlosn es el jefe de tecnología de la empresa EyeOS, pionera en escritorios virtuales y que hace unos años compró Telefónica. A sus 28 años, José Carlos es un torrente de energía que gasta no sólo en el trabajo sinó también haciendo investigaciones independientes de seguridad informática. Cualquier cosa puede incitar su curiosidad, como tener un amigo propietario de un camión.
"Ví que en el camión tenía un TGU instalado, con una antena 3G y una pantallita, y me dijo: 'Mi jefe se conecta y ve por aquí lo que hago con el camión'", explica José Carlos. TGU son las iniciales de Telematics Gateway Unit (Unidad Telemática de Puerta de Enlace). Todo vehículo que pertenezca a una flota suele estar conectado a la central con este tipo de dispositivos.
José Carlos se dirigió a una gran base de datos pública en Internet llamada Shodan, que recopila todas las direcciones IP de Internet y los puertos que tienen abiertos. Todo dispositivo que se conecte a la red debe tener una dirección IP y los TGUs no son una excepción. La IP es como la dirección física, marca dónde está la puerta de entrada. Paralelamente, leyó montañas de manuales hasta descubrir que existe una marca, que vende en España, Francia y Marruecos, llamada C4max, cuyos dispositivos no tienen contraseña. Y la buscó en Shodan.
"Aparecieron 800 camiones, uno en la M-30, otro que volvía del Eroski... Podía localizarlos con Google Maps", explica. Como el 3G de los camiones se activa cuando están en marcha y se apaga cuando están parados, no es fácil saber cuántos están afectados, pues en Shodan aparecen sólo los activos en aquel momento. José Carlos cree que podrían ser "miles" los vehículos que, ahora mismo, dependen de un dispositivo conectado a Internet sin contraseña, abierto por tanto a cualquiera.
En este punto, explica, paró la investigación, pues intentar hackear un camión no sólo es delito en España sinó también algo muy peligroso: "El TGU va conectado al sistema central de electrónica del camión", explica. Debemos pues aplicar la imaginación: quien hackee un TGU podría parar de golpe el camión y causar un accidente, mandarle coordenadas GPS falsas para llevarlo a un descampado y robarle la carga, espiar un vehículo de flota para VIPs y saber dónde está en cada momento una personalidad importante, etc.
Ante la gravedad del descubrimiento, José Carlos Norte decidió hacerlo público en su blog http://jcarlosnorte.com/security/2016/03/06/hacking-tachographs-from-the-internets.html: "Cuando ví que el TGU iba conectado a Ignición decidí escribirlo para hacer ruido con esto, que se genere debate y se vea que esto no es ninguna broma", explica. El investigador lo ha publicado sin avisar antes al fabricante porque: "En España la legislación no me permite avisar al fabricante, ya que podría denunciarme por extorsión".
Desde el último cambio legislativo en este sentido, muchos hackers buenos españoles prefieren callar lo que han visto porque "no existe un marco legal para que los investigadores independientes notifiquen cosas como esta, de forma responsable". En algunos casos, dice José Carlos, "alguien se ha puesto en contacto con una empresa para avisarla y le han dicho que hacía extorsión, o muchas veces cuando las avisas lo primero que te dicen es que te ponen en contacto con su departamento legal".
La situación no es mejor en los TGUs de otros fabricantes, según ha podido saber José Carlos Norte por otros investigadores: "Yo he denunciado el caso más grave, pero el estado de seguridad de los TGUs es lamentable, contraseñas por defecto, etc". El problema, afirma es que son aparatos que van embedidos en el camión, lo que dificulta las actualizaciones de seguridad. Y, para colmo, dice el hacker, "el estado de su seguridad ya es malo, porque son dispositivos del siglo pasado, de una industria no preparada para hoy en día, pero además van y los conectan a Internet".
José Carlos nos deja mientras, por otra línea, la revista "Wired" le pide una entrevista. Queda lejos de ese triunfador el José Carlos chaval de 18 años a quién en 2006 detenía la Guardia Civil http://www.abc.es/hemeroteca/historico-03-09-2006/abc/Nacional/detenidos-tres-hackers-que-atacaron-las-redes-de-varios-medios-de-comunicacion_1423133741824.html. Le requisaron todo el material informático de su casa e incluso fueron a la primera empresa que le había dado empleo a conminarles para que le despediesen.
Su delito de juventud: liderar a un grupo de chavales que asaltaron las páginas web de diversos medios de comunicación, entre ellos Telemadrid y La Cope. "No teníamos a nadie que nos enseñase, estábamos totalmente desbocados y íbamos probando cosas", explica. Tuvo que esperar ocho años para ser juzgado y, finalmente, un acuerdo entre las partes le permitió declararse culpable a cambio de una multa de 60 euros. ¡No está mal para un completo autodidacta!
Mercè Molist