Investigadores holandeses encontraron una manera simple de meterse en los semáforos

Dos profesionales de ciberseguridad de los Países Bajos descubrieron que solo se necesita un clic para secuestrar los datos del tráfico y obtener control sobre los semáforos. No está claro si el truco puede causar algún problema todavía. Los investigadores Rik van Duijn y Wesley Neelen, que también son cofundadores de la firma de software y servicios […]

Dos profesionales de ciberseguridad de los Países Bajos descubrieron que solo se necesita un clic para secuestrar los datos del tráfico y obtener control sobre los semáforos. No está claro si el truco puede causar algún problema todavía.

Los investigadores Rik van Duijn y Wesley Neelen, que también son cofundadores de la firma de software y servicios de seguridad Zolder, comenzaron su investigación por curiosidad. El anuncio de aplicaciones para teléfonos inteligentes que encienden los semáforos en verde  para los ciclistas se hizo bastante popular este año en los Países Bajos. Y los dos querían verificar si las aplicaciones se ajustaban completamente al propósito de los ciclistas. 

“Pudimos falsificar a un ciclista, de modo que el sistema estaba viendo a un ciclista en la intersección, y pudimos hacerlo desde cualquier lugar”, explicó Neelen. Incluso podrían manejarlo desde casa.

Esta brecha de seguridad no solo estaba presente en una de las aplicaciones. Intentaron otra aplicación similar con una implementación más amplia. Los datos falsos podrían enviarse a otros semáforos en diez ciudades holandesas diferentes  y el resultado fue el mismo.

“Simplemente aceptan lo que sea que les pongas”, dijo Neelen.

Se trata de ingeniería inversa

Neelen y van Duijn básicamente hicieron ingeniería inversa de las aplicaciones y crearon un mensaje falso de conciencia cooperativa llamado entrada CAM. Los datos imitados fueron enviados por un  script de Python en la computadora portátil del hacker. Así fue como se entregó para encender los semáforos en verde, cuando un ciclista de usuarios de teléfonos inteligentes se acercaba a la ubicación elegida por los piratas informáticos.  

Grabaron el truco en dos demos diferentes en la ciudad de Tilburg. La primera prueba incluyó cierta interacción con un par de vehículos que pasaban por la intersección. 

Durante la segunda prueba, sin embargo, no hubo tráfico. Los profesionales establecieron el control simplemente ordenando su computadora portátil que se podía hacer desde cualquier lugar con una simple conexión a Internet. 

Neelen y van Duijn se unieron a la conferencia de piratas informáticos DEF CON en línea el 5 de agosto, para mostrar sus hallazgos y resultados sobre posibles brechas en el sistema de transporte inteligente del país.