La promesa de controlar un vehículo desde el teléfono móvil es una solución de comodidad para abrir las puertas y encenderlo. Pero recientemente fue descubierto un fallo de seguridad que puede exponer la seguridad de los conductores a que su auto sea abierto por otros desde un celular, además de sus datos personales.
Eaton Zveare, un investigador experto en ciberseguridad aplicada al sector automotriz, fue quien descubrió una vulnerabilidad crítica en el portal web interno de un fabricante reconocido de autos, obteniendo permisos de los administradores e información de clientes, que luego le daban la posibilidad de controlar los carros de forma remota.
Cómo fue descubierto el fallo que expone a los vehículos
Sin haber divulgado el nombre de la marca, Zveare accedió al sistema de gestión utilizado por concesionarios y empleados. Este acceso incluyó el control de variantes administrativas reservadas solo a personal con elevada jerarquía dentro de la empresa.
El hallazgo no surgió a partir de una intrusión forzosa ni de un ataque externo. El investigador identificó que el portal web de la compañía permitía manipular el código cargado en el navegador durante la página de inicio de sesión, lo que podría darle acceso remoto al control vehículo para abrirlo, por ejemplo.
Aprovechando ese punto débil, pudo sobrepasar las medidas de autenticación y crear una cuenta de “administrador nacional”. Este rol le abrió la puerta a los datos y funcionalidades de más de 1.000 concesionarios solo en Estados Unidos.
Según explicó Zveare a TechCrunch, el fallo no radicaba en los sistemas electrónicos del automóvil ni en el software instalado en los vehículos. El problema residía en la integración empresarial, ese eslabón que conecta la central del fabricante con la extensa red de puntos de venta y servicio, a través de herramientas digitales de uso interno.
Cuáles son los riesgos de este fallo
Las funcionalidades a las que pudo acceder Zveare iban mucho más allá de los datos básicos de inventario. Su cuenta de administrador habilitó la visualización de toda la información confidencial del ecosistema, desde datos personales y financieros de propietarios hasta la posibilidad de controlar funciones remotas de los vehículos.
Además, el sistema permitía suplantar identidades de otros empleados, gestionando cuentas y acciones en nombre de terceros sin requerir sus credenciales.
Uno de los puntos más delicados del sistema afectado resulta el uso del número de bastidor (VIN), un código alfanumérico de 17 caracteres ubicado en la base del parabrisas. Este identificador, necesario para gestiones legales y aseguradoras, está visible para quien se acerque al vehículo estacionado en la vía pública.
Aprovechando una de las herramientas internas, Zveare introdujo el VIN de un vehículo al azar y así accedió al nombre del dueño registrado. De este modo, el portal permitía vincular cualquier automóvil a una cuenta móvil, incluso sin justificación legítima.
La inseguridad detectada residía en dos fallos clave en la autenticación de la API del sistema, lo que facilitaba saltarse las comprobaciones y manipular los permisos de acceso.
Las pruebas se realizaron en un entorno controlado y, según informó el investigador, no se documentaron abusos previos antes de la divulgación. No obstante, la dimensión del problema resulta inquietante.
De haber caído en manos maliciosas, esa brecha habría posibilitado desbloquear remotamente autos ajenos, tomar el control de funciones a través de la propia aplicación oficial del vehículo y extraer datos personales de los usuarios.
“Imagina que basta con asomarte al parabrisas de un carro para anotar su número de bastidor, introducirlo en una herramienta interna, averiguar el nombre del propietario y vincular ese vehículo a una cuenta móvil. A partir de ahí, podrías desbloquear las puertas a distancia desde una app oficial, sin tocar una cerradura ni forzar nada”, aseguró.
La herramienta de enlace de cuentas funcionaba con una validación mínima. El sistema solicitaba únicamente una “declaración de buena fe”, sobre la veracidad del usuario que solicitaba el traspaso de titularidad, sin confirmar su legitimidad.
El investigador, respetando la legalidad, realizó los test con el consentimiento de un amigo y no llegó a conducir ni manipular físicamente un auto ajeno, pero demostró que el control sobre los vehículos quedaba comprometido.
Últimas Noticias
Cuándo se estrena el capítulo 5 de Merlina temporada 2 en Netflix
El siguiente capítulo se estrenará junto con los otros tres episodios faltantes para completar la segunda temporada
Reino Unido sugiere borrar correos electrónicos antiguos ante la sequía
El National Drought Group (NDG) ha emitido un comunicado instando a la población a adoptar medidas de ahorro de agua
Glosario de tecnología: qué significa Almacenamiento en bloque
Conocer términos tecnológicos se ha vuelto indispensable para la vida al usarla en casi todos los ámbitos
Merlina temporada 2 en Netflix: cuándo se estrena la segunda parte, tráiler, reparto y más
Desde su estreno, Merlina se posicionó rápidamente como una de las ficciones más populares del servicio de streaming, batiendo récords de audiencia
Spotify y Apple Music ponen la mira en el nuevo álbum de Taylor Swift, ‘The Life of a Showgirl’
Con sendas publicaciones, ambas plataformas se preparan para ofrecer a sus usuarios el duodécimo álbum de la cantante estadounidense
