seguridad llaves digitales

Pablo Gallo-Alcántara, corresponsal del periódico HackerCar, me escribía hace ya unos días para preguntar mi opinión sobre la inclusión en algunos modelos de Mercedes, en particular, el Mercedes Clase E All Terrain, de hasta 16 llaves digitales con las que desbloquear el vehículo.

La pregunta que tenía era si consideraba que esto aumentaba el perímetro de exposición de los vehículos conectados. Es decir, si hacía el vehículo 16 veces más inseguro.

Te pondré a continuación la respuesta que le di y lo que acabaron publicando en el medio, pero antes, una pequeña introducción:

¿Qué es eso de las llaves digitales?

Básicamente, de un tiempo a esta parte se ha empezado a poner bastante de moda la opción de ofrecer sistemas de login basados en la posesión de un dispositivo tecnológico, generalmente el móvil.

Esto no es nuevo, ojo. De hecho, un servidor ya usaba hace años (y fue hasta uno de los regalos que recibieron de mi los mecenas tiempo ha) una llave digital, que no dejaba de ser, por aquel entonces, un pincho USB específicamente creado para identificarte.

Gracias a ello, cuando querías identificarte en un servicio digital (como podía ser loguearse en la red corporativa de una empresa), enchufabas ese pincho USB y puesto que, en principio, solo tú deberías tenerlo, ya podías entrar.

A día de hoy, sin embargo, la mayoría de llaves digitales funcionan bajo NFC, que tiene la principal ventaja de ser un estándar y de que además funcionan inalámbricamente.

Ya hace falta, por tanto, ofrecer algún conector en particular, y por ello, la histórica figura de una llave como ese dispositivo que tenía necesidad de tener una forma específica (para encajar en un espacio específico) deja paso a cualquier forma que se te ocurra.

Por ponerte otro ejemplo, la cerradura digital que teníamos hasta hace poco instalada para entrar en nuestra casa en Asturias (la he tenido que quitar, por cierto, hace poco debido a un fallo mecánico de la misma) era como un pequeño llavero redondeado. Simplemente con acercar ese llaverito a la puerta, cualquiera podría entrar en nuestra casa. Permitiendo así que, en efecto, alguien no identificado biométricamente de forma previa (tanto Elia, como mi madre, como un servidor sí lo estamos, y por tanto solíamos entrar con la huella dactilar), con tener ese dispositivo diminuto, ya podía acceder.

¿Son seguras las llaves digitales?

A nivel de seguridad local (por ejemplo, ante un robo por parte de un caco en la calle) una llave digital ofrece prácticamente la misma seguridad que una llave convencional. Si me apuras, de hecho, es hasta algo más segura, ya que por todos es sabido que las cerraduras convencionales, incluso aquellas creadas con sistemas antirobo, son relativamente «simples» de forzar a poco que quien esté intentándolo sepa lo que se hace.

Una digital, al usar un sistema más informatizado y no ser todavía tan habitual, suele quedar fuera del radar de los cacos.

Ahora bien, a nivel de seguridad global la cosa cambia, y es que, por razones obvias, todo lo que dependa de entornos digitales es vulnerable a potenciales ataques masivos.

A día de hoy desconocemos ataques específicamente diseñados para este modelo en particular de llaves digitales de Mercedes, pero es muy probable que en algún momento alguien descubra alguna manera de generar una suerte de llave maestra digital con la que, en principio, se podría acceder a cualquier coche.

Por el simple hecho de que a diferencia de las físicas, que dependen de una serie de componentes mecánicos, las llaves digitales dependen de un sistema informático. Un sistema informático que puede tener algún tipo de vulnerabilidad que permita, por ejemplo, a un tercero escalar privilegios e identificarse.

No digo que sea fácil (que no lo es), pero siempre, siempre, hay posibilidad de que alguien descubra una manera.

Otra cosa es que el hecho de que este Mercedes en particular (ES) permita 16 llaves y no 3 o 4, escale el problema.

Ahí, sinceramente, no hay diferencia alguna en cuanto a seguridad.

Si se pueden generar aunque sea un par de llaves digitales, el sistema es tan robusto o vulnerable como aquel otro en el que se pueden generar miles.

El único escenario que quizás podría ser algo menos vulnerable es aquel en el que únicamente puede existir una única llave digital, y por el simple motivo de que, entonces, probablemente a nivel de implementación se esté bloqueando su uso por parte de cualquier otra llave administradora.

Ahora bien, también tengo que decirte que muy probablemente algo así no exista en el mercado. Aunque solo sea por propia necesidad de la industria, estoy seguro que todos los modelos actuales, ofrezcan o no de cara al cliente una o varias llaves digitales, sí contarán internamente con patrones de administración únicos que les permitan cumplir la normativa vigente en materia de seguridad (seguridad automovilística, me refiero), o ya puestos, poder reparar o acceder a un vehículo cuya llave ha sido extraviada por su legítimo dueño cuando este así lo pide en el concesionario.

Dejo para terminar el enlace al reportaje que acabaron publicando (ES).

Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.