Vulnerabilidades en automóviles exponen datos sensibles y accesos remotos

La vulnerabilidad en los portales de concesionarios: un riesgo inminente para la seguridad de los datos

Recientemente, el investigador de seguridad Eaton Zveare ha destapado una serie de fallos de seguridad en el portal en línea de un conocido fabricante de automóviles, que expusieron la información privada y los datos de los vehículos de sus clientes. Estos fallos no solo comprometen la seguridad de la información personal, sino que también podrían permitir a hackers acceder remotamente a los vehículos de los usuarios. Este caso pone de manifiesto la necesidad urgente de revisar la seguridad en los sistemas de concesionarios de automóviles y la gestión de datos.

El acceso a estos portales de concesionarios debe ser tratado con el máximo rigor, ya que los datos que manejan son extremadamente sensibles.

Un descubrimiento alarmante

Zveare, quien trabaja en una empresa de entrega de software, descubrió esta vulnerabilidad mientras realizaba un proyecto personal. Durante su investigación, se dio cuenta de que podía crear una cuenta de administrador que le otorgaba "acceso total" al portal web centralizado del fabricante de automóviles, que no ha sido nombrado pero es ampliamente conocido y cuenta con varias marcas populares.

El investigador comentó que, a pesar de que la identificación de los fallos fue un desafío, una vez que logró encontrar el agujero de seguridad, pudo eludir completamente el mecanismo de inicio de sesión. Esto se debió a que el código defectuoso se cargaba en el navegador del usuario al abrir la página de inicio de sesión del portal, lo que le permitió modificar el código y evitar las comprobaciones de seguridad.

Las implicaciones de este tipo de vulnerabilidades son enormes, ya que permiten un acceso no autorizado a una gran cantidad de información sensible. Zveare subrayó que el fabricante de automóviles no encontró evidencia de explotación previa, lo que sugiere que él fue el primero en detectar y reportar este problema.

Un acceso sin precedentes

Con el acceso obtenido, Zveare pudo visualizar datos de más de 1,000 concesionarios del fabricante en Estados Unidos. Describió el acceso que había logrado como "silencioso", ya que podía observar toda la información de estos concesionarios, incluyendo datos financieros y privados, así como sus posibles clientes.

Zveare encontró herramientas dentro del portal que le permitieron realizar búsquedas de datos de vehículos y conductores. En un ejemplo concreto, tomó el número de identificación único de un vehículo estacionado en un aparcamiento público y utilizó esa información para identificar al propietario del coche. Esto demuestra la facilidad con la que se puede acceder a información personal simplemente conociendo el nombre y apellido de un cliente.

La posibilidad de acceder a información tan sensible con un simple nombre y un número de identificación de vehículo es inquietante y revela la falta de controles de seguridad adecuados.

La conexión entre vehículos y cuentas móviles

Otro aspecto preocupante del acceso a este portal era la posibilidad de emparejar cualquier vehículo con una cuenta móvil. Esto permite a los propietarios de automóviles, o a los hackers en este caso, controlar algunas funciones del coche a través de una aplicación, como desbloquear las puertas. Zveare realizó una prueba utilizando la cuenta de un amigo, quien le dio su consentimiento para llevar a cabo la transferencia de propiedad del vehículo a su cuenta. Sorprendentemente, el proceso solo requería una simple afirmación de que el usuario que estaba realizando la transferencia era legítimo.

Zveare explicó que, aunque actuó de forma ética, la vulnerabilidad podía ser explotada por delincuentes para robar vehículos o acceder a objetos de valor dentro de ellos. Este tipo de acceso no autorizado no solo pone en riesgo a los propietarios de vehículos, sino que también abre la puerta a un mundo de posibles delitos.

Un sistema interconectado

Un problema adicional que Zveare destacó fue la interconexión de los sistemas de concesionarios a través de un inicio de sesión único. Este sistema permite a los usuarios acceder a múltiples sistemas o aplicaciones con un solo conjunto de credenciales. La vulnerabilidad encontrada en el portal del fabricante de automóviles permitía que un administrador, como la cuenta que Zveare había creado, pudiera "suplantar" a otros usuarios. Esto significa que, sin necesidad de las credenciales de acceso de otros usuarios, podría acceder a los sistemas de otros concesionarios como si fuera ellos.

Zveare comparó esta característica con otra vulnerabilidad que se había encontrado en un portal de concesionarios de Toyota en 2023, describiendo estos sistemas como "pesadillas de seguridad esperando a suceder".

Datos sensibles a la vista

Una vez dentro del portal, Zveare encontró datos de clientes que incluían información identificativa, así como datos financieros y sistemas de telemática que permiten el seguimiento en tiempo real de vehículos en alquiler o de cortesía, así como vehículos en tránsito por todo el país. También había opciones para cancelar esos vehículos, aunque Zveare no probó esta función.

Zveare señaló que los fallos de seguridad fueron corregidos en aproximadamente una semana tras su divulgación al fabricante de automóviles en febrero de 2025. Esto pone de manifiesto que, aunque los problemas fueron detectados y solucionados, el hecho de que existieran en primer lugar representa un riesgo significativo para la seguridad de los datos.

La lección aquí es clara: dos simples vulnerabilidades en la API fueron suficientes para abrir las puertas a un acceso no autorizado, y esto siempre está relacionado con la autenticación. Si estos aspectos se gestionan de forma inadecuada, todo el sistema se ve comprometido.

La importancia de la ciberseguridad en la industria automotriz

El caso de Zveare destaca la necesidad de que los fabricantes de automóviles refuercen sus protocolos de seguridad y adopten un enfoque proactivo en la protección de los datos de sus clientes. La industria automotriz, cada vez más digitalizada, debe ser consciente de los riesgos asociados con la conectividad y la interconexión de sistemas.

A medida que los vehículos se vuelven más inteligentes y conectados, también lo hacen las amenazas a su seguridad. Es imperativo que se realicen auditorías de seguridad periódicas y que se implementen medidas adecuadas para proteger tanto la información personal como la integridad de los vehículos.

Los consumidores tienen derecho a esperar que sus datos sean tratados con la máxima seguridad y confidencialidad. Por lo tanto, los fabricantes deben asumir la responsabilidad de garantizar que sus sistemas sean robustos y estén protegidos contra accesos no autorizados.

En un mundo donde la información es poder, el desafío para los fabricantes de automóviles y concesionarios es asegurarse de que ese poder no caiga en manos equivocadas. La responsabilidad recae en cada uno de los actores de la industria para construir un entorno más seguro y confiable para todos.