Es posible detener un camión en mitad de la autopista

Un joven español descubre cómo 'hackear' camiones a distancia a través de internet

El investigador en seguridad José Carlos Norte ha dado con una forma de 'hackear' camiones. Un fallo en el sistema electrónico de muchos modelos permite tomar el control
Foto: (Foto: Reuters)
(Foto: Reuters)

"Podría bloquear un camión en medio de la M-30" explica José Carlos Norte, un investigador español que ha descubierto lo frágiles que son los sistemas electrónicos que llevan camiones, autobuses, taxis o furgonetas para recibir órdenes de la central. Una marca en concreto, C4max, muy usada en España, Francia y Marruecos, no lleva ni siquiera contraseña para conectarse a Internet. Un 'hacker' podría, desde su casa, saber por dónde está circulando un camión o mandarlo a dónde quisiera.

José Carlos Norte es el jefe de tecnología de la empresa EyeOS, dedicada a desarrollar escritorios virtuales y adquirida hace unos años por Telefónica. A sus 28 años, José Carlos es un torrente de energía que gasta no sólo en el trabajo sinó también haciendo investigaciones independientes de seguridad informática. Cualquier cosa puede incitar su curiosidad, como tener un amigo propietario de un camión.

Aparecieron 800 camiones, uno en la M-30, otro que volvía del Eroski... Podía localizarlos con Google Maps

"Ví que en el camión tenía un TGU instalado, con una antena 3G y una pantallita, y me dijo: 'Mi jefe se conecta y ve por aquí lo que hago con el camión'", explica José Carlos. TGU son las iniciales de Telematics Gateway Unit (Unidad Telemática de Puerta de Enlace). Todo vehículo que pertenezca a una flota suele estar conectado a la central con este tipo de dispositivos.

Miles de camiones afectados en España

José Carlos se dirigió a una gran base de datos pública en Internet llamada Shodan, que recopila todas las direcciones IP de Internet y los puertos que tienen abiertos. Todo dispositivo que se conecte a la red debe tener una dirección IP y los TGUs no son una excepción. La IP es como la dirección física, marca dónde está la puerta de entrada. Paralelamente, leyó montañas de manuales hasta descubrir que existe una marca, que vende en España, Francia y Marruecos, llamada C4max, cuyos dispositivos no tienen contraseña. Y la buscó en Shodan

El investigador en seguridad informática José Carlos Norte
El investigador en seguridad informática José Carlos Norte

"Aparecieron 800 camiones, uno en la M-30, otro que volvía del Eroski... Podía localizarlos con Google Maps", explica. Como el 3G de los camiones se activa cuando están en marcha y se apaga cuando están parados, no es fácil saber cuántos están afectados, pues en Shodan aparecen sólo los activos en aquel momento. José Carlos cree que podrían ser "miles" los vehículos que, ahora mismo, dependen de un dispositivo conectado a Internet sin contraseña, abierto por tanto a cualquiera.

En este punto, explica, paró la investigación, pues intentar 'hackear' un camión no sólo es delito en España sinó también algo muy peligroso: "El TGU va conectado al sistema central de electrónica del camión", explica. Debemos pues aplicar la imaginación: quien 'hackee' un TGU podría parar de golpe el camión y causar un accidente, mandarle coordenadas GPS falsas para llevarlo a un descampado y robarle la carga, espiar un vehículo de flota para VIPs y saber dónde está en cada momento una personalidad importante etc.

El estado de seguridad de los TGUs es lamentable. Son aparatos que van integrados en el camión, lo que dificulta las actualizaciones de seguridad

Ante la gravedad del descubrimiento, José Carlos Norte decidió hacerlo público en su blog: "Cuando ví que el TGU iba conectado a Ignición decidí escribirlo para hacer ruido con esto, que se genere debate y se vea que esto no es ninguna broma", explica. El investigador lo ha publicado sin avisar antes al fabricante porque "en España la legislación no me lo permite, podría denunciarme por extorsión".

Desde el último cambio legislativo en este sentido, muchos 'hackers' éticos españoles prefieren callar lo que han visto porque "no existe un marco legal para que los investigadores independientes notifiquen cosas como esta, de forma responsable". En algunos casos, dice José Carlos, "alguien se ha puesto en contacto con una empresa para avisarla y le han dicho que hacía extorsión, o muchas veces cuando las avisas lo primero que te dicen es que te ponen en contacto con su departamento legal".

(Foto: Reuters)
(Foto: Reuters)

La situación no es mejor en los TGUs de otros fabricantes, según ha podido saber José Carlos Norte por otros investigadores. "Yo he denunciado el caso más grave, pero el estado de seguridad de los TGUs es lamentable, contraseñas por defecto, etc". El problema, afirma, es que son aparatos que van integrados en el camión, lo que dificulta las actualizaciones de seguridad. Y, para colmo, dice, "el estado de su seguridad ya es malo, porque son dispositivos del siglo pasado, de una industria no preparada para hoy en día, pero además van y los conectan a Internet".

José Carlos nos deja mientras, por otra línea, la revista "Wired" le pide una entrevista. Queda lejos ese José Carlos de 18 años a quién en 2006 detuvo la Guardia Civil. Le requisaron todo el material informático de su casa e incluso fueron a la primera empresa que le había dado empleo a conminarles para que le despediesen.

Su pecado de juventud: liderar a un grupo de chavales que asaltaron las páginas web de diversos medios de comunicación, entre ellos Telemadrid y La Cope. "No teníamos a nadie que nos enseñase, estábamos totalmente desbocados e íbamos probando cosas", explica. Tuvo que esperar ocho años para ser juzgado y, finalmente, un acuerdo entre las partes le permitió evitar la prisión, sin antecedentes penales, a cambio de una multa de 60 euros por una falta de daños, hoy despenalizada. No está mal para un completo autodidacta.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
10 comentarios
Por FechaMejor Valorados
Mostrar más comentarios

ÚLTIMOS VÍDEOS

El ídolo de barro (1949) de Mark Robson (El Despotricador Cinéfilo)
Nuestro homenaje al Gran Pepe Cuenca: ¡Doctor en matemática aplicada!
When your boyfriend catches you in bed with Obama - Fleabag: Episode 1 - BBC Three

ºC

ºC