En el Summit de Analistas de Seguridad 2025, Kaspersky mostró los hallazgos de una revisión de seguridad que expuso una debilidad crítica, la cual podría facilitar el acceso no autorizado a todos los automóviles conectados de un destacado fabricante de vehículos.
Una vulnerabilidad de tipo zero-day en una aplicación pública utilizada por un contratista fue la causa del fallo, lo que permitió a los investigadores obtener control del sistema telemático de los vehículos, poniendo en peligro la seguridad física de los conductores y los pasajeros. En los escenarios más extremos, podría un ciberdelincuente apagar el motor o cambiar de marcha mientras el vehículo está en movimiento. Estas conclusiones ponen de manifiesto las carencias de ciberseguridad en el sector automotriz y subrayan la necesidad urgente de implementar medidas de protección más rigurosas.
El acceso inicial: el constructor
La auditoría, llevada a cabo de manera remota, se enfocó en la infraestructura del contratista así como en los servicios públicos del fabricante. Varios servicios web expuestos fueron detectados por Kaspersky.
Inicialmente, se descubrió por parte de los investigadores una vulnerabilidad de inyección SQL en una wiki pública de la empresa, lo que facilitó la obtención de una lista de usuarios y los hashes de sus contraseñas, de las cuales algunas fueron descifradas sin dificultades debido a la falta de medidas de seguridad estrictas.
Como puerta de entrada al sistema de seguimiento de incidencias del contratista, ese acceso fue útil, ya que contenía información delicada sobre la configuración de la infraestructura telemática del fabricante. Entre los datos encontrados, había un archivo que incluía contraseñas encriptadas de usuarios con permisos para acceder a uno de los servidores de telemática de los vehículos. En los automóviles actuales, la telemática facilita la recopilación, transmisión y análisis de datos como la velocidad y la localización del vehículo.
Ingreso a través de los automóviles enlazados
Durante la etapa relacionada con los automóviles, Kaspersky identificó un cortafuegos mal ajustado que exponía a varios servidores internos. Mediante una contraseña de cuenta de servicio que habían conseguido con anterioridad, los investigadores accedieron al sistema de archivos del servidor, lo que les permitió encontrar credenciales de otro contratista y adquirir control absoluto sobre la infraestructura digital.
Resultó muy preocupante el hallazgo de un comando destinado a la actualización del firmware que posibilitaba la carga de software alterado en la Unidad de Control Telemático (TCU). Desde ese instante, se pudo ingresar al bus CAN (Controller Area Network) del automóvil, la red que conecta elementos fundamentales como el motor, los sensores o la transmisión. A partir de este punto, se facilitó el acceso a otros sistemas vitales, lo que podría potencialmente permitir la manipulación de funciones esenciales del vehículo y ponía en peligro la seguridad de los pasajeros.
“Los fallos de seguridad encontrados son atribuibles a errores muy frecuentes en la industria automotriz: plataformas web públicas, contraseñas poco seguras, falta de autenticación en dos pasos (2FA) y almacenamiento de información sensible sin protección. Este incidente ilustra cómo un solo fallo en la infraestructura de un proveedor puede conducir al compromiso total de todos los vehículos interconectados. Es fundamental que el sector priorice medidas de ciberseguridad más sólidas, especialmente en sistemas externos, a fin de salvaguardar a los conductores y mantener la confianza en la tecnología conectada”, sostiene Artem Zinenko, encargado de investigar vulnerabilidades en Kaspersky ICS CERT.
