Abra el automóvil desde el móvil promete comodidad. Una falla ha demostrado que es posible que no seamos los únicos con la clave – El diario andino
Imagine que es suficiente mirar el parabrisas de un automóvil para obtener su número de marco, un código de 17 caracteres visible desde el exterior, introducirlo en una herramienta interna, descubra el nombre del propietario y enlace ese vehículo a una cuenta móvil. A partir de ahí, puede desbloquear las puertas remotas de una aplicación oficial, sin tocar un bloqueo o forzar nada.
Eso es justo Qué investigador de ciberseguridad demostró Después de acceder al portal interno utilizado por los distribuidores de una gran marca de automóviles. No hablamos de un ataque contra usuarios o servidores públicos, sino de una brecha en la plataforma comercial que conecta al fabricante con su red de ventas. Una puerta trasera con acceso a funciones conectadas y datos personales.
El fracaso no estaba en el auto, sino en la cadena que une todo
Detrás de este hallazgo está Eaton Zveareque ha estado rastreando vulnerabilidades durante años en plataformas digitales de grandes marcas, especialmente en el sector del automóvil. Esta vez no fue diferente. Zveare descubrió que el portal web interno de un marca de autos conocida Permitió modificar el comportamiento del sistema del navegador mismo. Específicamente, logró alterar el código de página de inicio de sesión para omitir las verificaciones de seguridad y crear una cuenta de administrador con privilegios nacionales. Con esa cuenta, el acceso cubrió más de 1,000 concesionarios en los Estados Unidos.
A partir de ahí, la dimensión del problema cambió por completo. No se trataba solo de acceder a recursos internos de un concesionario. La cuenta que logró generar dio acceso al sistema completo: pude ver los datos de todos los concesionarios conectados, actuar en nombre de otros usuarios sin conocer sus credenciales y, las herramientas más delicadas y de acceso que les permitieron consultar información sobre vehículos y sus dueños. Todo eso de una plataforma que, en teoría, está reservado para profesionales del sector.
Zveare no forzó nada, no instaló ningún software malicioso ni atacó desde el exterior. Lo que encontró era una puerta muy cerrada dentro de un sistema legítimo. Y lo más preocupante es que esta puerta no solo le permitió entrar: ofreció, desde adentro, un conjunto de herramientas que nadie fuera del fabricante debe controlar tan fácilmente.
En los Estados Unidos, las leyes que regulan los vehículos varían según el estado, pero comparten un principio común: en muchos de ellos, Los fabricantes no pueden vender autos nuevos directamente al consumidor. Están obligados a hacerlo a través de distribuidores independientes, legalmente protegidos contra la competencia directa del fabricante. Que ha dado lugar a una estructura de red franquiciada que Agrupe miles de puntos de venta y después de las ventas.
Tesla ha tratado de desmarcar ese modelo y vender directamente, pero no ha sido fácil. Aunque lo ha logrado en algunos estados, en muchos otros continúa encontrando restricciones legales que le impiden vender o incluso entregar vehículos directamente. Su caso es la excepción más visible, pero no la norma.
Lo más delicado no es que este sistema haya mostrado información confidencial. Lo serio es que permitió actuar con altos privilegios, como si uno fuera parte de la estructura oficial del fabricante. A partir de ahí, fue posible asumir identidades de otros empleados, intervenir en vehículos registrados en cualquier parte del país o funciones de acceso diseñadas exclusivamente para técnicos autorizados.
El portal fue diseñado para dar agilidad a la red de distribuidores, no para resistir el acceso malicioso desde adentro
Como decimos anteriormente, cada automóvil tiene un número de marco único. Es un código de 17 caracteres, correcto y números, que sirve para identificarlo legalmente en todo el mundo.
Lo que el controlador promedio probablemente no imagina es que este código es visible desde el exterior, en la base del parabrisas, y que en el contexto de este caso era la clave de entrada. En una prueba real, Zveare introdujo un VIN visible desde el exterior y obtuvo el nombre del propietario.
Zveare no intentó conducir ningún vehículo ni alterar su configuración física. Pero con el control que tenía, abrirlo a distancia y vaciar su interior habría sido perfectamente posible.
Hoy, El nombre del fabricante afectado no se ha hecho público. Y no es porque nadie lo sepa. El investigador que descubrió la vulnerabilidad, sabe qué marca estaba detrás del portal comprometido, pero ha decidido no mencionarlo en su informe o Durante su presentación actual con. Ni TechCrunch, el primer medio que se hizo eco del caso, ha revelado la identidad del fabricante.
No es algo tan inusual. En algunos casos, los investigadores eligen mantener el anonimato de la empresa involucrada por Prudence, incluso cuando la vulnerabilidad ya se ha corregido para evitar poner en riesgo a terceros: concesionarios, empleados o clientes que aún dependen de ese sistema. También puede influir en el hecho de que la plataforma comprometida dio acceso a redes enteras, no a un servidor aislado.
Imágenes | con Géminis 2.5 Flash
En | Bugatti decidió no poner altavoces en un automóvil de cuatro millones de euros. Su secreto es una técnica de 1881
