Identificada una vulnerabilidad crítica que permitía controlar vehículos conectados con acciones como apagar el motor

Entre los resultados destacados de la auditoría realizada a un fabricante automotriz, Kaspersky reveló que un archivo con credenciales cifradas permitió a los investigadores acceder a uno de los servidores telemáticos de vehículos, lo que evidenció brechas significativas en la protección de la información y el acceso a infraestructuras críticas. A partir de este hallazgo, la empresa de ciberseguridad informó que fue posible comprometer funciones esenciales de los automóviles, incluyendo comandos sobre el motor y la transmisión.

De acuerdo con Kaspersky, la vulnerabilidad crítica se identificó durante el evento Security Analyst Summit 2025, donde se detallaron los resultados de una auditoría sobre los servicios públicos y la infraestructura subcontratada de un fabricante de automóviles de relevancia internacional. La investigación se centró en una aplicación pública vinculada a vehículos conectados que, debido a deficiencias en su diseño y protección, permitió a los expertos ejecutar acciones remotas tales como cambiar de marcha y apagar el motor, incluso cuando el vehículo se encontraba en movimiento. Esto expuso la seguridad tanto de los conductores como de los pasajeros, y tuvo implicaciones potenciales para la integridad de la infraestructura vial.

Según consignó el medio especializado, se detectó que la vulnerabilidad correspondía a un fallo de tipo ‘zero day’ dentro de la infraestructura gestionada por un contratista responsable de la aplicación. La investigación logró demostrar cómo los expertos pudieron tomar el control del sistema telemático de los automóviles. Los sistemas auditados permiten la recopilación, transmisión y análisis de datos relativos a la ubicación, la velocidad y otros parámetros críticos del vehículo.

El equipo de Kaspersky describió que inicialmente localizó varios servicios web públicos que presentaban riesgos. En particular, se identificó una vulnerabilidad de inyección SQL dentro de una wiki corporativa de acceso público, lo que facilitó la obtención de listas de usuarios y los 'hashes' de sus contraseñas. Las pruebas permitieron descifrar algunas de estas contraseñas debido a una escasa rigurosidad en las políticas de seguridad aplicadas, según detalló la propia compañía.

Al acceder con éxito a la información recopilada mediante la vulnerabilidad, los expertos ingresaron al sistema de seguimiento de incidencias del contratista. Desde ese punto, obtuvieron detalles sensibles sobre los componentes y la configuración de la infraestructura telemática utilizada por el fabricante. Kaspersky informó que dentro de estos datos se encontró un archivo que contenía contraseñas cifradas para acceder a servidores clave en el ecosistema de los automóviles conectados.

El proceso posterior involucró la explotación de un firewall mal configurado, que dejó expuestos varios servidores internos. Usando una de las credenciales descubiertas, los expertos de Kaspersky consiguieron acceder al sistema de archivos del servidor y localizar información que permitió el acceso a credenciales de otro contratista. Este avance facilitó el control sobre la infraestructura telemática del fabricante, abriendo la puerta al acceso a unidades fundamentales para la gestión y el funcionamiento seguro de los vehículos.

Durante la investigación, los expertos también detectaron un comando que actualizaba el 'firmware' de la Unidad de Control Telemática (TCU), lo que posibilitó la carga de software modificado. Este acceso proporcionó el control sobre el sistema que conecta elementos como el motor, los sensores y la transmisión, conocido como el bus Controller Area Network (CAN). Desde esta posición, fue viable manipular el comportamiento del automóvil.

Kaspersky detalló que el equipo prosiguió con intentos de acceso a otros componentes, logrando el control sobre sistemas que gestionan funciones claves, entre ellas la capacidad de apagar el motor durante la circulación, lo que supuso un riesgo directo para los ocupantes.

Según publicó la empresa de ciberseguridad, estos incidentes obedecen a vulnerabilidades comúnmente presentes en los sistemas automotrices modernos. Entre los problemas detectados figuran la exposición de servicios web públicos, el uso de contraseñas fáciles de violar, la carencia de autenticación de doble factor y el almacenamiento inadecuado de información sensible. Tales debilidades informáticas están extendidas en el sector, lo que incrementa la superficie de ataque y el impacto potencial de eventuales infracciones.

Artem Zinenko, responsable de investigación de vulnerabilidades en Kaspersky ICS CERT, destacó en declaraciones recogidas por el medio que "este caso demuestra cómo una sola brecha en la infraestructura de un proveedor puede derivar en el compromiso total de todos los vehículos conectados". En respuesta a estos hallazgos, la compañía subrayó la necesidad urgente de que la industria adopte prácticas de seguridad más sólidas, especialmente en lo que respecta a los sistemas incorporados por terceros.

Kaspersky propuso varias recomendaciones específicas para contrarrestar este tipo de amenazas. Sugirió que los contratistas limiten el acceso a los servicios web mediante la utilización de redes privadas virtuales (VPN), separen los servicios públicos del resto de la red empresarial y refuercen las políticas de contraseñas y autenticación. Para los fabricantes, la firma aconsejó restringir el acceso a plataformas telemáticas desde la red interna de los vehículos, emplear listas de permisos para gestionar las interacciones de red, inhabilitar la autenticación por contraseñas SSH y confirmar la autenticidad de los comandos ejecutados en las TCUs.

El informe presentado manifiesta que la protección frente a ciberataques debe extenderse a todos los actores que intervienen en el diseño, el desarrollo y la operación de vehículos conectados. Según Kaspersky, la colaboración entre fabricantes y proveedores resulta esencial para disminuir la aparición de vulnerabilidades y salvaguardar la seguridad tanto de los usuarios como de las infraestructuras tecnológicas asociadas.