Un investigador de seguridad, Eaton Zveare, reveló en la conferencia DEF CON 2025 que encontró graves vulnerabilidades en el portal web que utilizan concesionarios de un fabricante de automóviles muy conocido. El investigador optó por no publicar el nombre del fabricante, para reducir riesgos de explotación de esta vulnerabilidad. El fallo le permitió crear una cuenta de “administrador nacional” con acceso total a este sistema centralizado.
Una vez obtuvo acceso, Zveare pudo ver datos personales y financieros de clientes, rastrear en tiempo real vehículos, y enlazar cualquier coche con una cuenta móvil, con lo que podía desbloquear puertas o arrancar remotamente el vehículo solamente con el nombre completo del propietario o el número VIN del vehículo.
Aunque Zveare fue el primero en descubrir y reportar el fallo, sin evidencia de que terceros lo estuvieran explotando, el fabricante lo solucionó en aproximadamente una semana desde su divulgación.
Este incidente pone de manifiesto la fragilidad de los sistemas conectados: concesionarios que gestionan información sensible, vehículos controlables vía portal web y telemetría centralizada amplían peligrosamente la superficie de ataque. Es un nuevo ejemplo de que la ciberseguridad en el sector automotriz es una prioridad urgente.
Fuente: TechCrunch