Este contenido fue hecho con la asistencia de una inteligencia artificial y contó con la revisión del editor/periodista.
MADRID, 12 nov. (Portaltic/EP) –
Un conjunto de expertos ha alertado sobre una falla de seguridad grave descubierta en una aplicación automotriz pública, la cual posibilitaba manejar remotamente vehículos conectados, permitiendo acciones como cambiar de marcha o hasta detener el motor circulando.
Así lo comunicó la firma de ciberseguridad Kaspersky durante su cumbre Security Analyst Summit 2025, presentando los resultados de una revisión de seguridad ejecutada a un destacado fabricante de autos, analizando tanto los servicios abiertos de la empresa como la infraestructura de su contratista.
En este contexto, la vulnerabilidad de tipo ‘zero day’ se detectó en la infraestructura del proveedor encargado de la aplicación vinculada a los automóviles, lo que permitió a los investigadores tomar el control del sistema telemático de las unidades, poniendo en peligro la seguridad de quienes viajan en ellos.
Según explicó Kaspersky, se identificaron varios servicios web expuestos. Inicialmente, los investigadores hallaron un fallo de inyección SQL en una wiki interna de la empresa (un sitio web colaborativo corporativo).
Mediante el código SQL, usado para bases de datos, los expertos lograron acceder a un listado de usuarios y a los ‘hashes’ de sus contraseñas, algunas de las cuales pudieron desencriptarse con facilidad “debido a sus políticas de seguridad poco estrictas”, según señaló la compañía.
Adicionalmente, este mismo acceso sirvió de entrada al sistema de gestión de incidentes del contratista. Una vez dentro, los investigadores pudieron obtener información delicada sobre la arquitectura de la infraestructura telemática del fabricante.
De forma específica, la empresa detalló que encontraron un fichero con claves cifradas de usuarios con acceso a uno de los servidores telemáticos de los vehículos. Esto es crucial porque estos servidores gestionan la recolección, transmisión y análisis de datos del vehículo, como la velocidad o su ubicación.
Dispuesta ya esta información, solo restaba alcanzar el acceso a los vehículos. En este escenario, los expertos de Kaspersky descubrieron un cortafuegos mal configurado que exponía varios servidores internos, y explotaron esta deficiencia usando una de las credenciales de cuenta de servicio obtenidas antes, logrando acceder al sistema de ficheros del servidor.
Todo esto les permitió localizar credenciales de otro proveedor y, finalmente, tomar control de la infraestructura telemática. De forma paralela, detectaron una instrucción de mejora de ‘firmware’ que posibilitaba cargar un programa modificado en la Unidad de Control Telemático (TCU).
Esto implica que los expertos pudieron alcanzar el sistema que conecta elementos como el motor, sensores o la caja de cambios, conocido como bus Controller Area Network (CAN), para alterar el funcionamiento del automóvil. Además, siguieron intentando acceder a más componentes y consiguieron dominar otros sistemas vitales que permiten modificar funciones “cruciales” del vehículo, como apagar el motor estando en movimiento, poniendo en riesgo a sus ocupantes.
Luego de esta pesquisa, los especialistas en ciberseguridad puntualizaron que las debilidades halladas en estos servicios son consecuencia de fallos “algo comunes en el sector automotor”, como el uso de interfaces web públicas, contraseñas débiles, la falta de verificación de doble factor (2FA) y el resguardo de información sensible sin protección.
“Este caso evidencia cómo una única fisura en la infraestructura de un tercero puede derivar en el control total de todos los autos conectados”, advirtió Artem Zinenko, responsable de investigación de vulnerabilidades en Kaspersky ICS CERT.
Por ende, la compañía recalcó la necesidad de que el sector priorice métodos de seguridad sólidos, poniendo énfasis en los sistemas usados que provienen de terceros.
Considerando lo anterior, Kaspersky recomendó a los contratistas limitar el acceso a puertos web mediante VPN, aislar los servicios abiertos del resto de la red corporativa y aplicar normas de contraseñas y autenticación más rigurosas, entre otras medidas de seguridad.
Por su parte, los fabricantes deben acotar el acceso a la plataforma telemática desde la red del vehículo, según detalló la firma, además de implementar acciones más específicas como el uso de listas de permisos para supervisar intercambios de red, desactivar la verificación con contraseñas SSH y asegurar la legitimidad de las órdenes ejecutadas en las TCU.
Agregar Comentario