En informática se suele decir que cuando algo se puede abrir legítimamente, por muy difícil que sea hacerlo sin autorización, se puede abrir. Cualquier cerradura se puede abrir con o sin la llave, cuestión de tiempo y de pericia. Es lo que le ocurre a los Tesla Model 3 y Model Y, que utilizan el protocolo Bluetooth de baja energía (BLE) para permitir el acceso al coche y ponerlo en marcha.
Investigadores de NCC Group han conseguido saltarse dos sistemas de protección de BLE que afectan a estos modelos de Tesla y a las cerraduras electrónicas Kwikset/Weiser, que se basan en el mismo principio. El ataque es un clásico «hombre en medio», en el que el actor malintencionado se coloca entre dos nodos, el que emite y el que recibe, por lo que puede engañar tanto a uno como al otro.
Por un lado, el sistema BLE utiliza encriptación a nivel de enlace, es decir, en teoría la transmisión de información de cualquier naturaleza de un punto a otro, ya libre de errores, se realiza de forma segura. Por otro lado, se calcula la distancia entre el teléfono móvil con la app de Tesla y el coche, por lo que se puede limitar al atacante si no está lo suficientemente cerca. Las dos medidas de seguridad han sido violadas, por lo que se puede abrir el coche sin que el móvil del dueño esté cerca.
En el vídeo nos explican el truco. Entre un nodo (teléfono móvil) y el otro (coche) se colocan otros dos dispositivos de retransmisión, que engañan a uno y a otro, haciéndoles creer que están más cerca dada su bajísima latencia, 8 milisegundos. Por otro lado, estos dispositivos se adaptan a cualquier cambio en el protocolo de capa de enlace, por lo que ni el móvil ni el coche son capaces de notar que el tráfico de datos está intervenido por un tercero. Ambos dispositivos quedan conectados mediante otro sistema de mayor alcance.
A este tipo de ataque se le denomina relay attack. No hace falta descifrar la información encriptada, solo reenviarla de un punto a otro para crear una ilusión de cercanía
Se trata de un problema conocido del protocolo de comunicación inalámbrico BLE, del que Tesla declaró ser consciente después de que estos hackers de «sombrero blanco» -que asaltan sistemas para buscar formas de entrar, pero sin aprovecharse de ello y avisando de cómo lo han hecho- les explicasen cómo lograron abrir sus coches y ponerlos en marcha.
En NCC Group hubo que desarrollar tanto software como un modesto hardware para saltarse la protección, y una vez se ha hecho esto, bastan 10 segundos para realizar el ataque, siempre y cuando se pueda acercar uno lo suficiente al teléfono móvil del propietario y al coche. Hay formas de evitarlo, y una muy sencilla es pedir el PIN para arrancar; al menos, impide que el coche se desplace, aunque no que se pueda abrir.
Sultan Qasim Khan, el responsable de esta investigación, también ha indicado que dentro de la app de Tesla se limite el acceso al coche si el teléfono está quieto, lo cual tiene sentido. Otra forma de protegerse es desconectando el sistema Bluetooth del teléfono. Medidas más paranoicas implican guardar el teléfono dentro de una jaula de Faraday y que el garaje disponga de un inhibidor que impida funcionar al BLE. Más seguro, pero más incómodo.
