Un fallo en el portal de un fabricante de coches podría permitir a los hackers desbloquear coches y robar datos.

Una vulnerabilidad de seguridad en el portal en línea de un importante fabricante de automóviles expuso los datos de sus clientes y podría haber permitido a hackers desbloquear vehículos de forma remota. Lea sobre esta "pesadilla de seguridad" y obtenga consejos para proteger su coche del rastreo.

Se ha descubierto una nueva vulnerabilidad de seguridad en el sistema en línea de un importante fabricante de automóviles, que expone los datos de los clientes y podría permitir el acceso remoto a los vehículos. El investigador de seguridad Eaton Zveare descubrió la falla e informó a la empresa sobre sus hallazgos, lo que permitió su solución en febrero de 2025. Zveare no ha revelado el nombre del fabricante, pero afirmó que es una marca reconocida con más de 1000 concesionarios en Estados Unidos .

Para su información, Zveare es conocido por identificar vulnerabilidades críticas en dispositivos IoT. Por ejemplo, sus hallazgos de junio de 2022 revelaron una vulnerabilidad en una aplicación de jacuzzi inteligente que un atacante remoto podría explotar para extraer datos de usuarios desprevenidos.

La vulnerabilidad se encontró en un portal en línea utilizado por los concesionarios del fabricante de automóviles. Zveare descubrió una forma de eludir la seguridad del inicio de sesión modificando el código del portal, lo que le permitió crear una nueva cuenta de "administrador nacional". Esto le dio acceso sin restricciones a la información privada de miles de clientes, incluyendo datos personales, financieros e información del vehículo.

Usando el número de identificación único ( VIN ) de un vehículo, visible en el parabrisas, un hacker podría buscar el nombre del propietario. Aún más alarmante, la falla permitía a un hacker controlar remotamente ciertas funciones del vehículo, como el desbloqueo de las puertas, simplemente conociendo el nombre del cliente o el VIN. Si bien Zveare no probó si era posible retirar los vehículos, la vulnerabilidad podría ser fácilmente explotada por ladrones.

El portal del concesionario también expuso más que solo información de clientes. Con su nuevo acceso de administrador, Zveare podía ver los datos financieros de todos los concesionarios e incluso rastrear la ubicación en tiempo real de los vehículos de alquiler o de cortesía. Señaló que las fallas de seguridad eran una "pesadilla inminente" debido a la posibilidad de suplantar la identidad de otros usuarios y acceder a diferentes sistemas.

La firma de ciberseguridad Malwarebytes intervino en el asunto, afirmando que este tipo de vulnerabilidad facilita el rastreo y acecho de otras personas. Zveare, quien presentó sus hallazgos en la conferencia de seguridad Defcon, afirma que la compañía tardó aproximadamente una semana en corregir los errores tras su divulgación.

Le dijo a TechCrunch que el problema principal se reducía a simples fallas de autenticación, diciendo: "Si te equivocas en eso, entonces todo se derrumba".

Para las personas preocupadas por la seguridad de su automóvil, aquí hay algunos consejos simples para ayudar a prevenir el seguimiento no deseado:

• Utilice la aplicación de navegación de su teléfono (como Google Maps) en lugar de la integrada en su automóvil.

• No guarde destinos habituales en el sistema de navegación del automóvil.

• Mantenga el software de su automóvil actualizado para garantizar que cuente con las últimas protecciones de seguridad.

• Verifique las aplicaciones de acceso remoto de su automóvil para asegurarse de que no se hayan vinculado dispositivos desconocidos a su cuenta.