Un fallo en el Nissan Leaf permite 'hackearlo' desde cualquier parte del mundo

Controlar un Nissan Leaf aparcado en el Reino Unido desde el patio de tu casa en Australia. No es una broma. La proliferación de ese invento (terriblemente) llamado internet de las cosas ha abierto la puerta a que un amplio abanico de objetos cotidianos con conexión a internet se puedan manejar a distancia si existen agujeros de seguridad y se tiene la pericia necesaria para hacerlo.

Troy Hunt, especialista en seguridad informática y residente en Australia, ha puesto en práctica las lecciones que aprendió en una conferencia, en la que se explicó que cualquiera puede acceder a algunas de las funciones de un Nissan Leaf que están disponibles a través de la 'app' que permite comunicarse con el coche: controlar la calefacción, el aire acondicionado o calentar los asientos, ideas pensadas para que el usuario se encuentre el coche a su gusto cuando se suba al mismo. La 'app' también informa sobre el estado de la batería y el historial de los viajes.

Una vez conocido el agujero de seguridad, Hunt supo que podía controlar el Leaf que más le apeteciera. Para poner en práctica la idea, el australiano contactó a un dueño del Leaf en el Reino Unido, Scott Helme, para demostrar que ese fallo de seguridad implicaba que se podía controlar cualquier vehículo del planeta. El resultado de la prueba se puede comprobar en el vídeo sobre estas líneas (en inglés).

¿Cómo lo ha hecho? Basta con descifrar el modo en el que la 'app' se comunica con el coche para hacer la misma llamada desde un ordenador conectado a la red. En el comando aparece el número de bastidor del vehículo (VIN, en sus siglas en inglés) que, por ley, debe estar visible en el parabrisas delantero. Una vez conocido ese número, se puede 'hackear' cualquier Leaf a distancia.

El experimento de Hunt y Helme ha revelado algunos datos que no harán excesiva gracia a los dueños de un Leaf. La aplicación no verifica la identidad del dueño en ningún momento por lo que hasta el legitimo conductor del vehículo se conecta al mismo de manera anónima, como si fuera un invitado. Hunt también ha descubierto que, una vez en contacto con el vehículo, se puede extraer información del dueño. La 'app' en ningún momento exige un proceso de autentificación.

Para demostrar el alcance del agujero, el australiano se hizo con una herramienta para descifrar los códigos VIN de otros Leaf —es un número en el que sólo varían los últimos cinco o seis digitos—, que también ha podido acceder a distancia, lo que ha confirmado que el error de seguridad no es un hecho aislado.

Por el momento, el agujero del Leaf sigue sin haberse arreglado, como Hunt ha explicado en su blog. El 'hacker' australiano ha tratado de alertar a Nissan desde finales de enero pero, hasta la fecha, la firma no ha arreglado el error.