Fallas de seguridad en el portal web de un fabricante de automóviles permiten a un hacker desbloquear automóviles de forma remota desde cualquier lugar
Un investigador de seguridad dijo que las fallas en el portal de concesionarios en línea de un fabricante de automóviles expusieron la información privada y los datos de los vehículos de sus clientes, y podrían haber permitido a los piratas informáticos ingresar de forma remota a los vehículos de cualquiera de sus clientes.
Eaton Zveare, quien trabaja como investigador de seguridad en la empresa de distribución de software Harness, dijo a TechCrunch que la falla que descubrió permitía la creación de una cuenta de administrador que otorgaba "acceso sin restricciones" al portal web centralizado del fabricante de automóviles anónimo.
Con este acceso, un hacker malintencionado podría haber visto los datos personales y financieros de los clientes del fabricante de automóviles, rastrear vehículos e inscribir a los clientes en funciones que permiten a los propietarios (o a los hackers) controlar algunas de las funciones de sus automóviles desde cualquier lugar.
Zveare dijo que no planea nombrar al proveedor, pero dijo que era un fabricante de automóviles ampliamente conocido con varias submarcas populares.
En una entrevista con TechCrunch antes de su charla en la conferencia de seguridad Def Con en Las Vegas el domingo, Zveare dijo que los errores pusieron de relieve la seguridad de estos sistemas de concesionarios, que otorgan a sus empleados y asociados un amplio acceso a la información de los clientes y los vehículos.
Zveare, que ya había encontrado errores en los sistemas de clientes y en los sistemas de gestión de vehículos de los fabricantes de automóviles, encontró la falla a principios de este año como parte de un proyecto de fin de semana, dijo a TechCrunch.
Dijo que si bien encontrar las fallas de seguridad en el sistema de inicio de sesión del portal fue un desafío, una vez que las encontró, los errores le permitieron eludir el mecanismo de inicio de sesión por completo al permitirle crear una nueva cuenta de "administrador nacional".
Las fallas eran problemáticas porque el código defectuoso se cargaba en el navegador del usuario al abrir la página de inicio de sesión del portal, lo que le permitía —en este caso, Zveare— modificar el código para eludir las comprobaciones de seguridad. Zveare declaró a TechCrunch que el fabricante de automóviles no encontró evidencia de explotación previa, lo que sugiere que fue el primero en descubrirla y reportarla al fabricante.
Al iniciar sesión, la cuenta otorgó acceso a más de 1.000 concesionarios de fabricantes de automóviles en todo Estados Unidos, dijo a TechCrunch.
"Nadie sabe siquiera que estás mirando en silencio todos los datos de estos distribuidores, todas sus finanzas, toda su información privada, todas sus pistas", dijo Zveare al describir el acceso.
Zveare dijo que una de las cosas que encontró dentro del portal del concesionario fue una herramienta de búsqueda de consumidores a nivel nacional que permitía a los usuarios registrados del portal buscar datos del vehículo y del conductor de ese fabricante de automóviles.
En un ejemplo real, Zveare tomó el número de identificación único de un vehículo del parabrisas de un coche en un estacionamiento público y lo utilizó para identificar al propietario. Zveare explicó que la herramienta podría utilizarse para buscar a alguien usando únicamente el nombre y apellido del cliente.
Con acceso al portal, Zveare dijo que también es posible vincular cualquier vehículo con una cuenta móvil, lo que permite a los clientes controlar de forma remota algunas de las funciones de su automóvil desde una aplicación, como desbloquearlo.
Zveare afirmó haber probado esto en un ejemplo real con la cuenta de un amigo y con su consentimiento. Para transferir la propiedad a una cuenta controlada por Zveare, explicó que el portal solo requiere una certificación —en realidad, una promesa formal— de que el usuario que realiza la transferencia de cuenta es legítimo.
"Para mis propósitos, conseguí que un amigo me diera su consentimiento para que me hiciera cargo de su coche, y lo aproveché", dijo Zveare a TechCrunch. "Pero [el portal] podría hacerle eso a cualquiera con solo saber su nombre, lo cual me inquieta un poco, o simplemente podría buscar un coche en los aparcamientos".
Zveare dijo que no probó si podía irse en coche, pero dijo que los ladrones podrían aprovechar esta vulnerabilidad para entrar en los vehículos y robar objetos de ellos, por ejemplo.
Otro problema clave con el acceso al portal de este fabricante de automóviles era la posibilidad de acceder a los sistemas de otros concesionarios vinculados al mismo portal mediante el inicio de sesión único, una función que permite a los usuarios iniciar sesión en múltiples sistemas o aplicaciones con un solo conjunto de credenciales. Zveare afirmó que los sistemas del fabricante de automóviles para concesionarios están interconectados, por lo que es fácil cambiar de un sistema a otro.
Con esto, afirmó, el portal también contaba con una función que permitía a los administradores, como la cuenta de usuario que él creó, hacerse pasar por otros usuarios, lo que permitía acceder a los sistemas de otros concesionarios como si fueran ese usuario sin necesidad de iniciar sesión. Zveare explicó que esto era similar a una función encontrada en un portal de concesionarios Toyota en 2023 .
“Son simplemente pesadillas de seguridad a punto de ocurrir”, dijo Zveare, hablando de la función de suplantación de usuario.
Una vez en el portal, Zveare encontró datos personales identificables de clientes, algo de información financiera y sistemas telemáticos que permitían el seguimiento de la ubicación en tiempo real de los vehículos de alquiler o de cortesía, así como de los vehículos que se enviaban a todo el país, y la opción de cancelarlos; aunque Zveare no lo intentó.
Zveare dijo que los errores tardaron aproximadamente una semana en solucionarse en febrero de 2025, poco después de su revelación al fabricante de automóviles.
“La conclusión es que solo dos vulnerabilidades simples de la API abrieron las puertas, y siempre están relacionadas con la autenticación”, dijo Zveare. “Si fallas en ellas, todo se derrumba”.
techcrunch
