Conecta con nosotros

Noticias

Nuevo sistema de robo de coches sin llaves permite abrirlos en solo unos segundos

Publicado el

Nuevo sistema de robo de coches sin llaves permite abrirlos en solo unos segundos

Un nuevo sistema de robo de coches en el que no se utilizan llaves para abrir y encender los coches permite abrirlos en menos de un par de minutos gracias a un ataque a sus sistemas de seguridad. La técnica, a la que han llamado ataque de inyección de CAN, ha sido descubierta por Ian Tabor, un investigador experto en ciberseguridad y especializado en coches, que es además propietario de uno de los coches robados mediante este sistema.

Tabor, propietario de un Toyota Rav4 que desapareció después de haber sufrido robos en su interior dos veces en tres meses, quedó intrigado, y comenzó a investigar cómo podían haber accedido a su coche y encendido el motor para llevárselo. Según Ars Technica, empezó por examinar cuidadosamente el sistema telemático que Toyota utiliza para rastrear anomalías conocidas como DTCs (Códigos de error de diagnóstico). Y al parecer, su coche había registrado muchas de ellas cerca de la hora del robo.

Los códigos de error mostraban que se había perdido la comunicación entre la Red de Area de controlador (Controller Area Network, CAN) del coche y la Unidad de control electrónico (ECU) de los faros delanteros. Estas ECUs están en prácticamente todos los vehículos modernos, y se utilizan para controlar múltiples funciones. Entre ellas los frenos, las luces individuales, el motor y los limpiaparabrisas.Además, las ECUs envían mensajes de estado a través de la CAN para avisar a otras ECUs de las condiciones actuales.

Las DTC que mostraron que el faro delantero izquierdo del RAV4 perdió el contacto con las CAN no resultaron ser muy sorprendentes, ya que los ladrones habían cortado los cables que las conectaban. Más revelador fue el fallo producido al mismo tiempo en otras ECUs, incluso en las de las cámaras y en la del control de motor híbrido. Sumados, estos fallos sugerían que las ECUs no habían fallado, sino que el bus de la CAN había funcionado mal. Esto dio que pensar a Tabor, que empezó a ampliar su investigación.

Entonces comenzó a indagar en foros de crímenes en la dark web y en vídeos de YouTube que hablan de robo de coches. Durante su búsqueda encontró publicidad de lo que se conocía como dispositivos de «encendido de emergencia». Estos dispositivos estaban diseñados para que los usasen propietarios de vehículos o cerrajeros cuando no hay llave disponible, pero nada evitaba que los usase cualquiera. Delincuentes dedicados al robo de coches incluidos.

Tabor compró entonces un dispositivo anunciado como compatible para arrancar varios modelos de coches de Lexus y Toyota, como el Rav4. Después hizo ingeniería inversa con él, y con la ayuda de Ken Tindell, un amigo también experto en seguridad de vehículos, descubrió cómo funcionaba con la CAN del RAV4.

La investigación puso al descubierto un sistema de robo de vehículo sin llaves que ninguno de los investigadores había visto hasta entonces. En el pasado, los ladrones habían tenido éxito con lo que se conoce como un ataque de transmisión. Este tipo de ataque amplifica la señal emitida entre el coche y el llavero electrónico sin llave utilizado para desbloquearlo y arrancarlo.

Los llaveros electrónicos sin llave se comunican habitualmente a través de distancias muy cortas. Al colocar un dispositivo de radio portátil cerca del vehículo, los ladrones amplifican el mensaje, que habitualmente es débil, que envían los coches. Con la amplificación suficiente, los mensajes alcanzan una ubicación cercana, en casa o la oficina, donde está el llavero electrónico sin llave. Cuando el llavero electrónico responde con el mensaje cifrado que desbloquea y arranca el vehículo, el repetidor del ladrón lo dirige al coche. Con este sistema, se puede producir el robo de coches con rapidez.

Según ha manifestado Ken Tindell, «ahora que se sabe cómo funciona un ataque de transmisión, los propietarios de un coche guardan sus llaves en una caja de metal, bloqueando el mensaje de radio del coche, y algunos fabricantes venden llaves que se desactivan si no se mueven durante unos minutos, lo que hace que no puedan recibir el mensaje de radio del coche. Ante esto, los ladrones, que no quieren dejar atrás sus actividades lucrativas, se han pasado a un nuevo sistema que se salta la seguridad: saltarse el sistema de llave inteligente por completo. Lo hacen con un nuevo ataque: la inyección CAN«.

El inyector CAN que Tabor compró estaba «disfrazado» de altavoz Bluetooth de la marca JBL. Esto cubría a los ladrones si la policía, o terceros, empezaban a sospechar de su actividad. En vez de llevar un dispositivo que evidentemente se iba a utilizar para hackear el sistema de arranque del coche, lo hacen pasar por un altavoz u otro dispositivo inofensivo.

Además, contaba con chips para la inyección CAN integrados en su placa de circuitos. Según Tabor, los componentes del inyector del dispositivo cuestan alrededor de 10 dólares: un chip con el hardware CAN, software preprogramado en el chip (esto es, un firmware), un transmisor-receptor CAN y un circuito adicional conectado a éste.

El dispositivo se alimentaba de la batería del altavoz, y se conecta a un bus CAN, es decir, a un par de cables que van unidos. En un coche hay varios buses CAN funcionando en combinación, unidos directamente con conectores o mediante un cableado digital a través de un computador que pasa algunos mensajes de CAN entre los distintos buses CAN a los que está conectado.

En cuanto al dispositivo creado para el robo, está diseñado para conectarse al bus CAN de control para suplantar a la ECU de llave inteligente. Solo se necesita que los cables del bus CAN mencionados estén cerca del borde del coche para llegar a ellos. Como otros buses CAN están mucho más al fondo, el más sencillo para conectar con él mediante este aparato es el de los faros delanteros. Basta con sacar un poco el parachoques para conseguirlo.

Cuando se enciente, el inyector CAN no hace nada. Se queda escuchando hasta que le llega un mensaje concreto de que el coche está listo. Cuando recibe este mensaje CAN hace dos cosas: empieza a enviar multitud de mensajes CAN hasta a 20 veces por segundo, y activa el circuito adicional conectado a su emisor-receptor CAN. El montón de mensajes CAN que se envían contiene una señal de que la clave inteligente proporcionada es válida, y el control de acceso pasará este dato a la ECU de gestión del motor en otro bus.

Normalmente esto causaría confusión en el bus CAN de control, ya que chocarían con los mensajes de la llave inteligente real y evitarían el paso del mensaje para el arranque del coche. Aquí es donde entra en funcionamiento el circuito extra del dispositivo, cambiando cómo funciona el bus CAN para que otras ECUs no puedan comunicarse con él. El control todavía puede escuchar mensajes y enviarlos.

El altavoz lleva un botón de Play en la carcasa conectado al chip que lo activa todo. Cuando se presiona, el flujo de mensajes CAN que se envían cambia ligeramente, y envía instrucciones a la ECU de las puertas para que las desbloquee. Entonces, los ladrones pueden desenganchar el inyector CAN del sistema, entrar en el coche y marcharse con él. Entre Tabor y Tindell han diseñado dos defensas que aseguran que pueden detener los ataques de inyección CAN. Tindell ha notificado a Toyota de su creación para evitar el robo de coches, pero aún no le han contestado.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído