Sus autos están integrando más tecnologías digitales más rápido que nunca, pero esto también aumenta el riesgo de amenazas de seguridad, desde exploits de información y entretenimiento hasta ataques sin llave. Hay casos raros en los que el fabricante de automóviles mismo pone en riesgo a sus clientes y conductores a través de lapsos de seguridad. Se ha producido un caso similar con un fabricante de automóviles, potencialmente exponiendo millones al riesgo de secuestro. El investigador de seguridad Eaton Zveare ha compartido un hallazgo con TechCrunch, que reveló serias vulnerabilidades en un portal web de concesionario centralizado de un gran fabricante de automóviles no identificado. Los defectos expusieron datos confidenciales de clientes y vehículos y podrían haber permitido a los piratas informáticos realizar acciones nefastas como control remoto y secuestro no deseados. La falla del portal permite a los piratas informáticos secuestrar los autos de forma remota, se detalla que las fallas de seguridad relacionadas con «dos autenticaciones de API débiles» permitieron a Zveare evitar la seguridad de inicio de sesión en el portal web y crear una cuenta de administración de nivel nacional sin restricciones modificando algunos código cargado de navegador, sin necesidad de credenciales válidas. Posteriormente, esto otorgó el acceso de cuenta creado a más de 1,000 sistemas de concesionario en los Estados Unidos. Según los informes, el portal del concesionario es la misma plataforma a la que los empleados y los asociados están autorizados a acceder para ver la información del cliente y el vehículo. Lo que es peor es que el inicio de sesión único del portal podría permitir a los usuarios saltar entre diferentes sistemas de distribuidores. Una vez que se obtuvo el acceso, Zveare dijo que era muy fácil para alguien con una cuenta sin restricciones buscar el nombre de un cliente y igualarla con la información del vehículo a través de una herramienta interna. Del mismo modo, fue posible revisar un automóvil en un estacionamiento y buscar a su propietario. Sin embargo, lo más preocupante es que los vehículos con una cuenta móvil conectada representan un mayor riesgo de ataques y secuestros. Zveare le dijo a la salida que los administradores podrían controlar o transferir cuentas de usuario sin autenticación de seguridad. Demostró cómo la exploit podría funcionar en un escenario del mundo real. A través del permiso de un amigo con un vehículo en el portal, el investigador pudo controlarlo de forma remota, como desbloquear el automóvil a través de la aplicación móvil. Esto tiene serias implicaciones en las instancias de robo de automóviles organizados y robo. Se solucionó el error de seguridad importante que Zveare no reveló qué fabricante de automóviles era este. Sin embargo, se dice que es un proveedor bien conocido con múltiples sub-marcas. Tampoco se sabía si los defectos de seguridad afectaban los portales comparables de este fabricante de automóviles fuera de los Estados Unidos, aunque podría haber posibles lagunas similares en las subsidiarias en el extranjero. KIA se vio afectado por un error de sistema similar en 2024 que permitió a los atacantes controlar los vehículos utilizando placas. / © Jonathan Weiss / Shutterstock.com Además, Zveare declaró que este descubrimiento fue reportado al proveedor en febrero y que los errores fueron reparados en una semana. Si bien no hubo evidencia de explotación previa en la naturaleza, esto fue muy alarmante. Este no es el único caso en el que un fabricante de automóviles fue la razón de las importantes vulnerabilidades de seguridad. El año pasado, los investigadores explotaron el portal del concesionario de Kia para controlar los vehículos de forma remota utilizando números de matrícula. Mientras tanto, se informó que Volkswagen expuso los datos personales de más de 800,000 propietarios de EV. En su caso, ¿qué salvaguardas puede sugerir para ayudar a proteger sus datos y su vehículo de la piratería? ¿Deberíamos realmente confiar en estas empresas con nuestros datos? Queremos escuchar sus respuestas en los comentarios.