Investigadores han demostrado que, por primera vez, es posible engañar los sistemas de navegación GPS y enviar a los usuarios a direcciones específicas equivocadas.
Los ataques generalizados a GPS son muy bien conocidos, empleando señales falsas para confundir a sus objetivos o enviarlos fuera del camino en los sitios menos sospechados, pero controlarlos con precisión en entornos complejos como ciudades hasta ahora estaba considerado como muy complicado.
En la navegación terrestre, es muy sencillo decirle a un GPS que gire a la izquierda, pero si no hay un cruce en ese lugar, se dará cuenta y rápidamente comenzará a ignorar las instrucciones.
El objetivo final de un atacante sería copiar el sistema de carreteras en tiempo real, redirigiendo a la victima sigilosamente sin que se dé cuenta.
Según All Your GPS Are Belong To Us, publicado por investigadores de Virginia Tech, la Universidad de Ciencias Tecnológicas de China y Microsoft, este tipo de engaño sofisticado ya es posible.
Todo lo que necesitaría un atacante es un suplantador de GPS (GPS spoofer) construido sobre un Raspberry Pi y otros componentes con un coste menor a 200€ junto a un algoritmo capaz de crear rutas alternativas falsas y enviarlas a un receptor (por ejemplo la el sistema de navegación GPS instalado en un smartphone) en tiempo real.
Solo hay una limitación con este tipo de ataque, el suplantador de GPS tendría que estar controlado en otro vehículo a una distancia máxima de 40-50 metros de la víctima.
Solucionado ese punto, pruebas realizadas en condiciones reales mostraron que el ataque funcionó en 38 de 40 intentos.
Ser capaz de enviar a alguien a una localización especifica puede ser utilizado para un secuestro, robo o simplemente para ponerlo en peligro. Por ejemplo:
Si el atacante quiere poner en peligro a la víctima, el algoritmo puede crear rutas especificas por caminos equivocados en el 99,8% de los casos.
Por otro lado, también se puede utilizar para confundir o retardar la llegada de los servicios de emergencia.
Hubo un tiempo en que este ataque podría considerarse que solo afectaba a los individuos que utilizaran un sistema de navegación por satélite en sus vehículos, pero esta tecnología es parte central de otros servicios como las plataformas para compartir taxi (como Uber) así como los vehículos autónomos.
¿Medidas de defensa?
Los investigadores han dejado deberes a los fabricantes de sistemas de navegación en cuanto a medidas de defensa.
Estas pueden venir en varias formas, ninguna de ellas será barata o de rápida adopción. La primera es autentificar la señal, una forma de detectar y bloquear la señal falsa.
Una segunda posibilidad es no depender de una sola fuente de datos como la red americana de GPS, por ejemplo añadiendo una segunda o tercera red de navegación por satélite como la emergente red europea Galileo o la rusa GLONASS o incluso wifi para verificar la navegación.
Esto obligaría al atacante a simular señales de más de un sistema lo que es más complicado. Esto se podría mejorar con sensores de rotación giroscópicos para calcular de forma continua mediante la estima de la posición, el mismo sistema empleado desde hace años en aeronaves.
Es interesante saber que los investigadores creen que la opción más prometedora es la verificación de posición mediante visión computarizada, es decir que los sistema de navegación verificaran donde se encuentra utilizando puntos de referencia visuales.
Vivimos en un mundo donde en apenas dos décadas, los sistemas de navegación por satélite han casi liberado a los viajeros de la inconveniencia de los mapas en papel. Leyendo All Your GPS Are Belong To Us es difícil no concluir que esto ha llevado a las personas a mundo complaciente donde la exactitud y la falta de interferencias se da por supuesto.
La nueva generación de sistemas de navegación parece que será más compleja y cara. A lo mejor todavía no debes tirar esos mapas de papel.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario