En el marco del Security Analyst Summit 2025, Kaspersky ha alertado sobre una vulnerabilidad de tipo «zero day» en la infraestructura telemática de un importante fabricante de automóviles. Esta falla de seguridad permite a atacantes acceder y manipular funciones críticas de los vehículos.

Detalles del Descubrimiento

Los investigadores de Kaspersky identificaron que un contratista relacionado con el fabricante contaba con servicios web públicos que presentaban vulnerabilidades, permitiendo una inyección SQL. Este acceso no autorizado condujo a la obtención de listas de usuarios y contraseñas, algunas de las cuales fueron descifradas debido a la falta de políticas de seguridad robustas.

Una vez dentro, los expertos accedieron al sistema de gestión de incidencias del contratista, lo que les facilitó información sobre la configuración de la infraestructura telemática. Un firewall mal configurado dejó expuestos varios servidores internos, permitiéndoles el uso de una contraseña de cuenta de servicio para explorar aún más el sistema de archivos.

Manipulación de Funciones Vehiculares

En el entorno telemático, encontraron un comando de actualización de firmware que permitía la carga de software alterado en la Unidad de Control Telemático (TCU). Gracias a esto, lograron manipular funciones esenciales del vehículo, incluyendo la capacidad de apagar el motor mientras el automóvil estaba en movimiento, lo cual pone en grave riesgo tanto a conductores como a pasajeros.

Desafíos Comunes en la Industria Automotriz

Según los especialistas de Kaspersky, los errores detectados son comunes en el sector automotriz, como el uso de servicios web expuestos sin la protección adecuada, contraseñas débiles, y la ausencia de autenticación de doble factor (2FA). Además, subrayaron que muchas veces los datos sensibles no están debidamente cifrados o asegurados.

Artem Zinenko, responsable de investigación de vulnerabilidades en Kaspersky ICS CERT, comentó: «Este caso ilustra cómo una única brecha en la infraestructura de un proveedor puede comprometer la seguridad de todos los vehículos conectados».

Implicaciones para la Seguridad Vial

Este descubrimiento resalta un riesgo real para la seguridad de automóviles cada vez más interconectados, en un mundo donde los vehículos incorporan sistemas telemáticos y actualizaciones remotas. La interconectividad y los servicios en la nube hacen que la cadena de proveedores sea tan crucial como la del propio fabricante, por lo que un fallo en un eslabón puede abrir la puerta al hackeo.

Para los usuarios y empresas, esto implica que la confianza en la seguridad del vehículo debe extenderse más allá del fabricante, abarcando también los servicios y aplicaciones que los conectan, así como la infraestructura del servidor y los proveedores de módulos telemáticos.