La promesa de controlar un vehículo desde el teléfono móvil es una solución de comodidad para abrir las puertas y encenderlo. Pero recientemente fue descubierto un fallo de seguridad que puede exponer la seguridad de los conductores a que su auto sea abierto por otros desde un celular, además de sus datos personales.
Eaton Zveare, un investigador experto en ciberseguridad aplicada al sector automotriz, fue quien descubrió una vulnerabilidad crítica en el portal web interno de un fabricante reconocido de autos, obteniendo permisos de los administradores e información de clientes, que luego le daban la posibilidad de controlar los carros de forma remota.
Cómo fue descubierto el fallo que expone a los vehículos
Sin haber divulgado el nombre de la marca, Zveare accedió al sistema de gestión utilizado por concesionarios y empleados. Este acceso incluyó el control de variantes administrativas reservadas solo a personal con elevada jerarquía dentro de la empresa.
El hallazgo no surgió a partir de una intrusión forzosa ni de un ataque externo. El investigador identificó que el portal web de la compañía permitía manipular el código cargado en el navegador durante la página de inicio de sesión, lo que podría darle acceso remoto al control vehículo para abrirlo, por ejemplo.
Aprovechando ese punto débil, pudo sobrepasar las medidas de autenticación y crear una cuenta de “administrador nacional”. Este rol le abrió la puerta a los datos y funcionalidades de más de 1.000 concesionarios solo en Estados Unidos.
Según explicó Zveare a TechCrunch, el fallo no radicaba en los sistemas electrónicos del automóvil ni en el software instalado en los vehículos. El problema residía en la integración empresarial, ese eslabón que conecta la central del fabricante con la extensa red de puntos de venta y servicio, a través de herramientas digitales de uso interno.
Cuáles son los riesgos de este fallo
Las funcionalidades a las que pudo acceder Zveare iban mucho más allá de los datos básicos de inventario. Su cuenta de administrador habilitó la visualización de toda la información confidencial del ecosistema, desde datos personales y financieros de propietarios hasta la posibilidad de controlar funciones remotas de los vehículos.
Además, el sistema permitía suplantar identidades de otros empleados, gestionando cuentas y acciones en nombre de terceros sin requerir sus credenciales.
Uno de los puntos más delicados del sistema afectado resulta el uso del número de bastidor (VIN), un código alfanumérico de 17 caracteres ubicado en la base del parabrisas. Este identificador, necesario para gestiones legales y aseguradoras, está visible para quien se acerque al vehículo estacionado en la vía pública.
Aprovechando una de las herramientas internas, Zveare introdujo el VIN de un vehículo al azar y así accedió al nombre del dueño registrado. De este modo, el portal permitía vincular cualquier automóvil a una cuenta móvil, incluso sin justificación legítima.
La inseguridad detectada residía en dos fallos clave en la autenticación de la API del sistema, lo que facilitaba saltarse las comprobaciones y manipular los permisos de acceso.
Las pruebas se realizaron en un entorno controlado y, según informó el investigador, no se documentaron abusos previos antes de la divulgación. No obstante, la dimensión del problema resulta inquietante.
De haber caído en manos maliciosas, esa brecha habría posibilitado desbloquear remotamente autos ajenos, tomar el control de funciones a través de la propia aplicación oficial del vehículo y extraer datos personales de los usuarios.
“Imagina que basta con asomarte al parabrisas de un carro para anotar su número de bastidor, introducirlo en una herramienta interna, averiguar el nombre del propietario y vincular ese vehículo a una cuenta móvil. A partir de ahí, podrías desbloquear las puertas a distancia desde una app oficial, sin tocar una cerradura ni forzar nada”, aseguró.
La herramienta de enlace de cuentas funcionaba con una validación mínima. El sistema solicitaba únicamente una “declaración de buena fe”, sobre la veracidad del usuario que solicitaba el traspaso de titularidad, sin confirmar su legitimidad.
El investigador, respetando la legalidad, realizó los test con el consentimiento de un amigo y no llegó a conducir ni manipular físicamente un auto ajeno, pero demostró que el control sobre los vehículos quedaba comprometido.
Últimas Noticias
El precio de bitcoin para este día
El bitcoin ha sentado las bases para la creación de muchas de las monedas digitales existentes en el mercado y ha marcado un momento crucial para las soluciones de pago digital
El consumo ambiental de la IA: por qué su huella es menor que la de otras tecnologías
Estudios recientes estiman que, aunque los modelos de inteligencia artificial demandan electricidad y agua en cada consulta, su impacto agregado resulta menor que el de otros consumos digitales de uso cotidiano
Tether: cuál es la cotización de esta criptomoneda
Esta moneda digital se ha visto envuelta en diversas polémicas, principalmente por asegurar que cada token está respaldado por un dólar
Cómo los dispositivos inteligentes recopilan información personal y comprometen la privacidad
Un análisis detallado revela cómo aparatos cotidianos, desde televisores hasta altavoces y cámaras, generan perfiles de usuarios, comparten datos sensibles y alimentan un mercado global con escasa regulación
Estos ajustes de WhatsApp te ayudarán a evitar que extraños te añadan a grupos
A diferencia de los chats individuales, actualmente no es posible bloquear un grupo completo; sin embargo, los usuarios pueden reportar a los administradores si detectan contenido spam o perjudicial
