BMW, el fabricante alemán de autos de lujo, corrigió una falla de seguridad que pudo permitir a cibercriminales abrir los seguros de las puertas de casi 2.2 millones de vehículos Rolls-Royce, Mini y BMW.

BMW comentó que oficiales de la Asociación Alemana de Automovilistas (ADAC, por sus siglas en alemán) identificaron el problema. La falla afecta a los autos equipados con el software ConnectedDrive de la compañía que usa tarjetas SIM, es decir, los chips utilizados para identificar a los usuarios autorizados de los dispositivos móviles a bordo del vehículo. 

Los conductores de BMW pueden usar el software y las tarjetas SIM para activar los mecanismos de cierre, así como otros servicios, incluyendo la información en tiempo real del tráfico, entretenimiento en línea y aire acondicionado.

El riesgo de seguridad ocurría al transmitir datos, dijo BMW, añadiendo que esto no impedía las funciones críticas del auto, como manejar, dirigir o frenar. BMW dijo que no estaba al tanto de algún caso en donde los datos hubieran sido utilizados para comprometer la seguridad de un vehículo.

En los últimos años, expertos en seguridad informática han criticado a la industria automotriz por no hacer más para asegurar las comunicaciones internas de los vehículos que cuentan con funciones conectadas a la red.

El peligro, dicen, consiste en que una vez que la seguridad ha sido traspasada, los atacantes pueden tener vía libre para acceder a los sistemas informáticos a bordo del vehículo, que manejan desde los motores y los frenos hasta el aire acondicionado.

Temen que sólo sea cuestión de tiempo antes de que puedan entrar a las redes inalámbricas en los autos para explotar fallas y otras vulnerabilidades de software con el fin de dañar a los conductores.

Los investigadores de seguridad de ADAC fueron capaces de simular la existencia de una red telefónica falsa, a la que los autos BMW intentaron acceder, permitiendo a los atacantes manipular funciones activadas por una tarjeta SIM.

BMW dijo que había tomado medidas para eliminar posibles brechas de seguridad, cifrando las comunicaciones dentro del auto por medio del mismo estándar HTTPS (Protocolo Seguro de Transferencia de Hipertexto) usado por navegadores web para transacciones seguras, como las de comercio electrónico o bancarias.

BMW mencionó que pudo actualizar automáticamente su software ConnectedDrive cuando el vehículo se conectó al servidor del Grupo BMW o cuando el conductor solicitó manualmente el servicio de configuración.

"La capacidad en línea del software ConnectedDrive de Grupo BMW permitió que la brecha fuera cerrada de forma rápida y segura en todos los vehículos", dijo BMW. "No hubo necesidad de que los vehículos fueran al taller".