En la última edición de la conferencia de ciberseguridad DEF CON en Las Vegas, el investigador Eaton Zveare destapó una falla que, de haberse explotado con malas intenciones, habría permitido controlar funciones de vehículos, rastrearlos y acceder a datos personales y financieros de sus dueños.
Lo inquietante es que el fabricante afectado, un reconocido grupo automotriz con marcas muy populares, no fue revelado, lo que deja en claro que el alcance potencial pudo haber sido masivo.
Según el reporte original de TechCrunch, la brecha se originó en el portal en línea para concesionarios de la compañía. Zveare descubrió fallos en el sistema de inicio de sesión que le permitieron saltarse la autenticación por completo y crear una cuenta de “administrador nacional”, lo que le dio acceso privilegiado a toda la plataforma.
Con ese nivel de control, el investigador pudo utilizar la herramienta de búsqueda de usuarios para vincular cualquier vehículo con una cuenta de la aplicación móvil oficial.
Estas apps, cada vez más comunes, permiten desde abrir y cerrar puertas de forma remota hasta encender el motor, localizar el vehículo y mucho más. Lo alarmante es que Zveare solo necesitaba el nombre y apellido de un propietario, o incluso el VIN, para localizar su información en el portal y tomar el control.
Para demostrarlo, realizó la prueba con el auto de un amigo. Simplemente transfirió la propiedad de la cuenta de la app a sí mismo y, en cuestión de segundos, tuvo acceso total a las funciones remotas del vehículo. Aunque no intentó conducirlo, dejó claro que el riesgo para la seguridad física, los bienes y la privacidad era muy real.
Afortunadamente, Zveare actuó de forma ética y reportó la vulnerabilidad al fabricante, quien confirmó que la falla ya fue corregida y que no se han detectado accesos sospechosos fuera de su investigación. Esto significa que, al menos por ahora, los clientes están fuera de peligro.
Sin embargo, el caso vuelve a poner sobre la mesa un problema que crece al ritmo de la digitalización de la industria automotriz, pues cada nueva función conectada puede convertirse en una puerta de entrada para ciberataques si no se protege adecuadamente.
La comodidad de encender tu coche desde el celular o ubicarlo con un toque tiene un precio, y los fabricantes tendrán que invertir cada vez más en blindar esos accesos.
