Graves Fallos en Portal de Fabricante de Autos: Hackers Podrían Controlar Vehículos Remotamente

Vulnerabilidades Críticas Exponen Datos y Control de Vehículos

Un investigador de seguridad descubrió fallos críticos en el portal web de un importante fabricante de automóviles que exponía información confidencial de clientes y permitía el acceso remoto a sus vehículos. Eaton Zveare, especialista de la empresa Harness, reveló que las vulnerabilidades habrían permitido a hackers crear cuentas administrativas con privilegios ilimitados.

Acceso Sin Restricciones a Sistemas Clave

Los fallos en el sistema de autenticación del portal permitían:

• Creación de cuentas «admin nacional» con acceso a más de 1,000 concesionarios en EE.UU.
• Visualización de datos financieros y personales de clientes
• Vinculación remota de vehículos a cuentas maliciosas para desbloquearlos
• Seguimiento en tiempo real de automóviles en transporte o alquiler

Demostraciones Alarmantes

Zveare verificó los riesgos con pruebas reales:

• Identificó propietarios usando solo el VIN de vehículos estacionados en lugares públicos
• Transfirió el control de un auto a su cuenta con solo una «declaración de legitimidad» sin verificación

«Podría hacerlo con cualquiera solo sabiendo su nombre, lo que me asusta»
– Eaton Zveare, investigador de seguridad

Función de Suplantación Peligrosa

El portal incluía un sistema de inicio de sesión único que permitía a administradores «suplantar» a cualquier usuario sin credenciales, vulnerabilidad similar a una detectada en Toyota en 2023.

Solución y Advertencia

Las vulnerabilidades fueron corregidas en febrero de 2025 tras la divulgación. Zveare presentará los hallazgos en la conferencia Def Con en Las Vegas, destacando que «solo dos vulnerabilidades de API abrieron las puertas» debido a fallos críticos en autenticación.