MADRID, 12 Nov. (Portaltic/EP) -
Un grupo de investigadores ha advertido sobre una vulnerabilidad crítica hallada en una aplicación pública de automóviles que permitía el control remoto de vehículos conectados, con capacidad para llevar a cabo acciones como el cambio de marcha o, incluso, apagar el motor mientras el coche está en movimiento.
Así lo ha dado a conocer la compañía de ciberseguridad Kaspersky en el marco de su evento Security Analyst Summit 2025, donde ha presentado los resultados de una auditoría de seguridad realizada a un importante fabricante de automóviles, en la que se han analizado tanto los servicios públicos del fabricante como la infraestructura del contratista.
En este sentido, la vulnerabilidad de tipo 'zero day' se ha hallado en la infraestructura del contratista a cargo de la aplicación vinculada con los automóviles, que permitió a los investigadores tomar el control del sistema telemático de los vehículos, poniendo en riesgo la seguridad de conductores y pasajeros.
Tal y como lo ha explicado Kaspersky, se han detectado varios servicios web expuestos. En primer lugar, los investigadores identificaron una vulnerabilidad de inyección SQL en una wiki corporativa pública, esto es, un sitio web colaborativo de la empresa).
Con el código SQL, utilizado para bases de datos, los investigadores consiguieron acceder a una lista de usuarios y a los 'hashes' de sus contraseñas, algunas de las cuales se pudieron descifrar fácilmente "debido a sus políticas de seguridad pocos rigurosas", como ha puntualizado la compañía.
Además, este mismo acceso les sirvió como puerta de entrada al sistema de seguimiento de incidencias del contratista. Con lo que, una vez dentro, los investigadores pudieron obtener información sensible sobre la configuración de la infraestructura telemática del fabricante.
Concretamente, la compañía ha detallado que encontraron un archivo con contraseñas cifradas de usuarios que disponían de acceso a uno de los servidores de telemática de los vehículos. Esto es relevante porque estos servidores permiten recopilar, transmitir y analizar datos del vehículo como la velocidad o la ubicación.
Una vez disponían de esta información, solo faltaba poder acceder a los vehículos. En este caso, los investigadores de Kaspersky descubrieron un 'firewall' mal configurado que dejaba varios servidores internos expuestos, y se aprovecharon de este fallo utilizando una de las contraseñas de cuenta de servicio obtenidas previamente, con la que lograron acceder al sistema de archivos del servidor.
Todo ello les permitió localizar credenciales de otro contratista y, finalmente, obtener control sobre la infraestructura telemática. Al mismo tiempo, detectaron un comando de actualización de 'firmware' que permitía cargar 'software' modificado en la Unidad de Control Telemático (TCU).
Esto se traduce en que los investigadores pudieron acceder al sistema que interconecta componentes como el motor, los sensores o la transmisión, llamado bus Controller Area Network (CAN), para manipular el comportamiento del vehículo. Además, continuaron intentando acceder a más componentes y consiguieron el control de otros sistemas críticos que permitían manipular funciones "clave" del vehículo", como apagar el motor en marcha, poniendo en riesgo a los ocupantes del coche.
FALLOS BASTANTE COMUNES EN EL SECTOR DE LA AUTOMOCIÓN
Tras esta investigación, los expertos en ciberseguridad han matizado que las vulnerabilidades detectadas en estos servicios se deben a fallos "bastante comunes en el sector de la automoción", como es el uso de servicios web públicos, contraseñas débiles, la ausencia de la autenticación de doble factor (2FA) y el almacenamiento de datos sensibles sin filtrar.
"Este caso demuestra cómo una sola brecha en la infraestructura de un proveedor puede derivar en el compromiso total de todos los vehículos conectados", ha advertido el responsable de investigación de vulnerabilidades en Kaspersky ICS CERT, Artem Zinenko.
Por tanto, la compañía ha puesto sobre la mesa la necesidad del sector de priorizar las prácticas de seguridad robustas, poniendo énfasis en los sistemas de terceros que se utilicen.
Teniendo todo ello en cuenta, Kaspersky ha recomendado a los contratistas restringir el acceso a servicios web mediante VPN, aislar los servicios públicos del resto de la red corporativa y aplicar políticas de contraseña y autenticación más estrictas, entre otras cuestiones de seguridad.
Por su parte, los fabricantes deben limitar el acceso a la plataforma telemática desde la red del vehículo, según ha detallado la compañía, así como llevar a cabo acciones más concretas como utilizar listas de permisos para controlar las interacciones de red, deshabilitar la autenticación por contraseñas SSH y garantizar la autenticidad de los comandos que se ejecutan en las TCUs.