Durante el Security Analyst Summit 2025, Kaspersky presentó los resultados de una auditoría de seguridad que reveló una vulnerabilidad crítica capaz de permitir el acceso no autorizado a todos los vehículos conectados de un fabricante automotriz.
El hallazgo mostró que, al aprovechar una falla de software en una aplicación pública de un contratista, era posible tomar el control del sistema telemático de los vehículos, poniendo en riesgo la seguridad física de conductores y pasajeros. Entre las posibles acciones, los investigadores demostraron que un atacante podría forzar cambios de marcha o apagar el motor mientras el vehículo está en movimiento.
La investigación se realizó de forma remota sobre los servicios públicos del fabricante y la infraestructura de su proveedor. Kaspersky encontró varios servicios web expuestos a través de una vulnerabilidad tipo Zero-Day en una aplicación pública utilizada por un contratista, lo que les permitió obtener una lista de usuarios y los hashes de sus contraseñas, algunas de las cuales se descifraron con facilidad debido a políticas de seguridad poco rigurosas
Ese acceso sirvió como puerta de entrada al sistema de seguimiento de incidencias del contratista, que contenía información sensible sobre la configuración de la infraestructura telemática del fabricante. Entre los datos hallados figuraba un archivo con contraseñas cifradas de usuarios con acceso a uno de los servidores de telemática de los vehículos. En los automóviles modernos, la telemática permite recopilar, transmitir y analizar datos como la velocidad o la ubicación del coche.
Del lado de los vehículos, los analistas identificaron un firewall mal configurado que exponía servidores internos. Usando credenciales obtenidas, lograron ingresar al sistema y descubrir comandos que permitían cargar firmware modificado en la unidad de control telemático (TCU). Esto dio acceso al bus CAN (Controller Area Network), la red que conecta los distintos componentes del vehículo (como el motor o la transmisión), abriendo la posibilidad de manipular funciones críticas.
“Las fallas detectadas se originan en problemas muy comunes en la industria automotriz: servicios web públicos, contraseñas débiles, ausencia de autenticación de dos factores y almacenamiento no cifrado de datos sensibles. Este caso demuestra cómo un solo punto débil en la infraestructura de un contratista puede derivar en el compromiso total de una flota de vehículos conectados. La industria automotriz debe priorizar prácticas sólidas de ciberseguridad, especialmente en los sistemas de terceros, para proteger a los conductores y mantener la confianza en las tecnologías conectadas”, explicó Artem Zinenko, jefe del equipo de Investigación y Evaluación de Vulnerabilidades del Kaspersky ICS CERT.
Para evitar este tipo de riesgos de ciberseguridad en la industria automotriz, los expertos de Kaspersky recomiendan:
· A los contratistas: restringir el acceso a servicios web mediante VPN, aislarlos de la red corporativa, aplicar políticas estrictas de contraseñas, activar la autenticación de dos factores, cifrar datos sensibles e integrar el registro de actividades con sistemas SIEM para monitoreo en tiempo real.
· A los fabricantes: limitar el acceso a la plataforma telemática desde la red del vehículo, usar listas de permisos (allowlists) para interacciones de red, deshabilitar la autenticación por contraseña SSH, ejecutar servicios con privilegios mínimos y garantizar la autenticidad de los comandos en las TCU.
