September 23, 2021

Fallas de seguridad encontradas en cargadores de vehículos eléctricos populares – TechCrunch

La empresa de ciberseguridad del Reino Unido Pen Test Partners ha identificado varias vulnerabilidades en las API de seis marcas de carga de vehículos eléctricos domésticos y una gran red pública de carga de vehículos eléctricos. Si bien los fabricantes de cargadores resolvieron la mayoría de los problemas, los hallazgos son el último ejemplo del mundo mal regulado de los dispositivos de Internet de las cosas, que están a punto de volverse omnipresentes en nuestros hogares y vehículos.

Se identificaron vulnerabilidades en la API de seis marcas de carga de vehículos eléctricos diferentes: Project EV, Wallbox, EVBox, EO Hub de EO Charging y EO mini pro 2, Rolec e Hypervolt, y la red de carga pública Chargepoint. El investigador de seguridad Vangelis Stykas identificó varias fallas de seguridad entre las diversas marcas que podrían haber permitido que un pirata informático malintencionado secuestrara cuentas de usuario, impidiera la carga e incluso convirtiera uno de los cargadores en una “puerta trasera” en la red doméstica del propietario.

Las consecuencias de un hackeo a la red de una estación de carga pública podrían incluir el robo de electricidad a expensas de las cuentas del conductor y el encendido o apagado de los cargadores.

Una Raspberry Pi en un cargador Wallbox. Créditos de imagen: Socios de prueba de lápiz (Se abre en una nueva ventana

Algunos cargadores de vehículos eléctricos usaban un módulo de cómputo Raspberry Pi, una computadora de bajo costo que a menudo usan los aficionados y programadores.

“La Pi es una gran plataforma informática educativa y para aficionados, pero en nuestra opinión no es adecuada para aplicaciones comerciales ya que no tiene lo que se conoce como un ‘cargador de arranque seguro’”, dijo a TechCrunch el fundador de Pen Test Partners, Ken Munro. “Esto significa que cualquier persona con acceso físico al exterior de su hogar (por lo tanto, a su cargador) podría abrirlo y robar sus credenciales de Wi-Fi. Sí, el riesgo es bajo, pero no creo que los proveedores de cargadores deban exponernos a riesgos adicionales “.

Los trucos son “realmente bastante simples”, dijo Munro. “Puedo enseñarte a hacer esto en cinco minutos”, agregó.

El informe de la compañía, publicado el fin de semana pasado, abordó las vulnerabilidades asociadas con protocolos emergentes como la Interfaz de punto de carga abierta, mantenida y administrada por la Fundación EVRoaming. El protocolo fue diseñado para facilitar la carga entre diferentes operadores y redes de carga.

Munro lo comparó con el roaming en un teléfono celular, lo que permite a los conductores usar redes fuera de su red de carga habitual. OCPI no se usa ampliamente en este momento, por lo que estas vulnerabilidades podrían diseñarse fuera del protocolo. Pero si no se aborda, podría significar “que una vulnerabilidad en una plataforma crea potencialmente una vulnerabilidad en otra”, explicó Stykas.

Los ataques a las estaciones de carga se han convertido en una amenaza particularmente nefasta a medida que una mayor parte del transporte se electrifica y más energía fluye a través de la red eléctrica. Las redes eléctricas no están diseñadas para grandes cambios en el consumo de energía, pero eso es exactamente lo que podría suceder si se produjera un gran hackeo que encendiera o apagara una cantidad suficiente de cargadores rápidos de CC.

“No se necesita mucho para hacer que la red eléctrica se sobrecargue”, dijo Munro. “Sin darnos cuenta, hemos creado un arma cibernética que otros podrían usar contra nosotros”.

El “salvaje oeste” de la ciberseguridad

Si bien los efectos en la red eléctrica son exclusivos de los cargadores de vehículos eléctricos, los problemas de ciberseguridad no lo son. Los hacks de rutina revelan problemas más endémicos en los dispositivos de IoT, donde ser el primero en el mercado a menudo tiene prioridad sobre la seguridad sólida, y donde los reguladores apenas pueden ponerse al día con el ritmo de la innovación.

“Realmente no hay mucha aplicación”, dijo Justin Brookman, director de política de privacidad y tecnología del consumidor de Consumer Reports, a TechCrunch en una entrevista reciente. La aplicación de la seguridad de los datos en los Estados Unidos es competencia de la Comisión Federal de Comercio. Pero si bien existe un estatuto de protección al consumidor de propósito general en los libros, “bien puede ser ilegal construir un sistema que tenga poca seguridad, es solo si se va a hacer cumplir o no”, dijo Brookman.

Un proyecto de ley federal separado, la Ley de mejora de la seguridad cibernética de Internet de las cosas, se aprobó en septiembre pasado, pero solo se aplica ampliamente al gobierno federal.

Solo hay un poco más de movimiento a nivel estatal. En 2018, California aprobó un proyecto de ley que prohíbe las contraseñas predeterminadas en los nuevos productos electrónicos de consumo a partir de 2020, un progreso útil sin duda, pero que en gran medida pone la carga de la seguridad de los datos en manos de los consumidores. California, al igual que estados como Colorado y Virginia, también han aprobado leyes que exigen medidas de seguridad razonables para los dispositivos de IoT.

Estas leyes son un buen comienzo. Pero (para bien o para mal) la FTC no es como la Administración de Drogas y Alimentos de EE. UU., Que audita los productos de consumo antes de que salgan al mercado. A partir de ahora, no hay ningún control de seguridad en los dispositivos tecnológicos antes de que lleguen a los consumidores. En el Reino Unido, “es el Salvaje Oeste aquí también, ahora mismo”, dijo Munro.

Han surgido algunas nuevas empresas que están tratando de abordar este problema. Uno es Thistle Technologies, que está tratando de ayudar a los fabricantes de dispositivos de IoT a integrar mecanismos en su software para recibir actualizaciones de seguridad. Pero es poco probable que este problema se resuelva por completo solo gracias a la industria privada.

Debido a que los cargadores de vehículos eléctricos podrían representar una amenaza única para la red eléctrica, existe la posibilidad de que los cargadores de vehículos eléctricos entren en el ámbito de una factura de infraestructura crítica. La semana pasada, el presidente Joe Biden publicó un memorando en el que pedía una mayor seguridad cibernética para los sistemas relacionados con la infraestructura crítica. “La degradación, destrucción o mal funcionamiento de los sistemas que controlan esta infraestructura podría causar un daño significativo a la seguridad nacional y económica de Estados Unidos”, dijo Biden. Si esto se filtrará a los productos de consumo es otra cuestión.