Una brecha de seguridad que permite tomar el control de vehículos conectados
- Actualidad
Durante una auditoría de seguridad a una empresa del sector del motor, Kaspersky detectó una brecha de seguridad provocada por una vulnerabilidad de día cero que habría permitido controlar remotamente los coches hasta el punto de hacerles cambiar de marcha o detenerlos.
En el Security Analyst Summit 2025 de Kaspersky, como es habitual, están surgiendo temas muy interesantes de las investigaciones que muestra la compañía. La última está a medio camino entre lo que no hace mucho habría sido una distopía y un episodio de MacGyver. Kaspersky tiene el encargo de poner a prueba la seguridad de una compañía del motor y lo que encuentra es una vulnerabilidad que le habría permitido tomar el control remoto de los coches conectados.
La auditoría se realizó de forma remota y puso a prueba tanto los servicios públicos del fabricante como la infraestructura del contratista. Lo primero que encontraron fue “una vulnerabilidad de inyección SQL en una wiki corporativa pública”, con la que lograron un listado de usuarios y “hashes” de sus contraseñas, algunas de ellas fácilmente descifrables.
Con esa información entraron en el sistema de seguimiento de incidencias del contratista, que a su vez tenía “información sensible sobre la configuración de la infraestructura telemática del fabricante”, como las contraseñas cifradas de usuarios con acceso a un servidor de la telemática de los vehículos.
Ya en los vehículos, encontraron un firewall mal configurado que les permitió acceder a varios servidores internos. Con la contraseña lograda previamente, accedieron al sistema de archivos del servidor donde localizaron las credenciales de otro contratista, con las que lograron el control total de la infraestructura telemática. Detectaron un comando de actualización de firmware que les permitió cargar un software modificado en la Unidad de Control Telemático, acceder al bus Controller Area Network del vehículo y a otros sistemas críticos.
Artem Zinenko, responsable de investigación de vulnerabilidades en Kaspersky ICS CERT, explica que “las vulnerabilidades detectadas se deben a fallos bastante comunes en el sector de la automoción: servicios web públicos, contraseñas débiles, ausencia de autenticación en dos pasos (2FA) y almacenamiento de datos sensibles sin cifrar. Este caso demuestra cómo una sola brecha en la infraestructura de un proveedor puede derivar en el compromiso total de todos los vehículos conectados. El sector debe priorizar prácticas de ciberseguridad más robustas, sobre todo en sistemas de terceros, para proteger a los conductores y mantener la confianza en la tecnología conectada”.
