Vulnerabilidades en cargadores de automóviles eléctricos
Si bien los autos eléctricos modernos se prueban constantemente en busca de vulnerabilidades, algunos de sus accesorios esenciales, como los cargadores de baterías, pasan desapercibidos. Los expertos de Kaspersky Lab han descubierto que los cargadores de autos eléctricos (EV, por sus siglas en inglés) suministrados por un importante proveedor conllevan vulnerabilidades que pueden ser explotadas por ataques cibernéticos y las consecuencias de un ataque exitoso podrían incluir daños a la red eléctrica doméstica.
Los vehículos eléctricos son un tema en la actualidad ya que su desarrollo hace una contribución vital a la sustentabilidad ambiental. En algunas regiones, los puntos de recarga públicos y privados se están convirtiendo en un lugar común. La creciente popularidad de los autos eléctricos llevó a los expertos de Kaspersky Lab a verificar los cargadores disponibles que incluyen una función de acceso remoto. Los investigadores descubrieron que, si se ve comprometido, el cargador conectado podría causar una sobrecarga de energía que podría acabar con la red a la que estaba conectado, causando un impacto financiero y, en el peor de los casos, dañando otros dispositivos que se encuentren en la red.
Los investigadores encontraron una manera de iniciar comandos en el cargador y detener el procesador de carga o configurarlo a la máxima corriente posible. Si bien, la primera opción solo evitaría que una persona use el automóvil, la segunda podría causar que los cables se sobrecalienten en un dispositivo que no está protegido por un fusible.
Todo lo que un atacante debe hacer para cambiar la cantidad de electricidad que se consume es obtener acceso a la red Wi-Fi a la que está conectado el cargador. Dado que los dispositivos están hechos para uso doméstico, es probable que la seguridad de la red inalámbrica sea limitada. Esto significa que los atacantes podrían obtener acceso fácilmente, por ejemplo, mediante el uso brusco de todas las opciones de contraseña posibles, lo cual es bastante común: según las estadísticas de Kaspersky Lab, 94% de los ataques a IoT en 2018 provinieron de Telnet y SSH. Una vez dentro de la red inalámbrica, los intrusos pueden encontrar fácilmente la dirección IP del cargador. Esto, a su vez, les permitirá explotar cualquier vulnerabilidad e interrumpir las operaciones.
Todas las vulnerabilidades encontradas se informaron al proveedor y fueron revisadas
“La gente a menudo olvida que, en un ataque dirigido, los cibercriminales siempre buscan los elementos menos obvios para comprometer y pasar desapercibidos. Esta es la razón por la que es muy importante buscar vulnerabilidades, no solo en las innovaciones técnicas no investigadas, sino también en sus accesorios, que suelen ser un objetivo codiciado para los actores de amenazas. Como hemos demostrado, los proveedores deben ser extremadamente cuidadosos con los dispositivos de los vehículos conectados e iniciar una serie de fallos o pedir a los expertos en ciberseguridad que revisen sus dispositivos. En este caso, tuvimos la suerte de tener una respuesta positiva y un parche rápido, lo que ayudó a prevenir posibles ataques”, dijo Dmitry Sklyar, investigador de seguridad en Kaspersky Lab.
Kaspersky Lab recomienda tomar las siguientes medidas de seguridad:
- Actualice regularmente todos sus dispositivos inteligentes a las últimas versiones de software. Las actualizaciones pueden contener parches para vulnerabilidades críticas, que, si no se resuelven, pueden dar acceso a los cibercriminales a su hogar y a su vida privada.
- No utilice la contraseña predeterminada para los enrutadores Wi-Fi y otros dispositivos, cámbiela por una fuerte y no use la misma para varios dispositivos.
- Recomendamos aislar la red del hogar inteligente de la que utilizan sus dispositivos personales o los de su familia para realizar búsquedas básicas en Internet. Esto es para garantizar que, si un dispositivo se compromete con malware a través de un correo electrónico de phishing, su sistema de casa inteligente no se verá afectado.