Durante el Security Analyst Summit 2025, Kaspersky presentó los resultados de una auditoría de seguridad que reveló una vulnerabilidad crítica capaz de permitir el acceso no autorizado a todos los vehículos conectados de un fabricante automotriz.
La vulnerabilidad, originada en una aplicación pública de un contratista, posibilitó acceder a servicios críticos y ejecutar acciones remotas como cambiar marchas o apagar el motor mientras el vehículo estaba en movimiento.
El hallazgo mostró que, a través de una falla de software en una aplicación pública de un contratista, era posible ejecutar acciones remotas sobre los vehículos, entre ellas forzar cambios de marcha o apagar el motor mientras el auto está en movimiento. Este nivel de control supone un peligro inmediato para la integridad de los usuarios y destaca la necesidad urgente de reforzar las prácticas de ciberseguridad en toda la industria automotriz, especialmente en sistemas dependientes de múltiples proveedores.
Cómo se originó el acceso no autorizado
La investigación de Kaspersky se llevó a cabo de manera remota, analizando los servicios públicos del fabricante y la infraestructura de su proveedor. Durante esa evaluación, los analistas identificaron servicios web expuestos debido a una vulnerabilidad Zero-Day en una aplicación de uso público, cuyo diseño y mantenimiento dependían de un contratista del fabricante.
A través de esta falla, fue posible obtener una lista de usuarios y los hashes de sus contraseñas. Varias de ellas fueron descifradas con facilidad debido a políticas laxas de seguridad, como contraseñas débiles y ausencia de mecanismos robustos de protección. Ese acceso preliminar actuó como puerta de entrada a un sistema interno del contratista: la plataforma de seguimiento de incidencias.
En ese sistema se almacenaba información sensible sobre la infraestructura telemática del fabricante, incluyendo archivos con contraseñas cifradas de personal con acceso directo a uno de los servidores principales utilizados para gestionar las funciones telemáticas de los vehículos conectados. En los autos modernos, estos sistemas permiten recopilar y transmitir datos como ubicación, velocidad, estado mecánico y otras funciones esenciales.
Exposición del campo interno y manipulación del firmware
Del lado del fabricante, los analistas detectaron un firewall mal configurado que exponía servidores internos, lo que facilitó el movimiento lateral dentro de la infraestructura. Con las credenciales obtenidas desde el contratista, lograron ingresar al sistema y profundizar el análisis. Fue allí donde encontraron comandos capaces de cargar firmware modificado dentro de la unidad de control telemático (TCU) de los vehículos.
Modificar ese firmware abrió una vía directa al bus CAN (Controller Area Network), la red que conecta y coordina múltiples componentes esenciales del vehículo, como el motor, la transmisión o los sistemas de asistencia a la conducción. Desde ese nivel de acceso, el equipo de Kaspersky demostró que un atacante podría manipular funciones críticas en condiciones reales.
“Las fallas detectadas se originan en problemas muy comunes en la industria automotriz: servicios web públicos, contraseñas débiles, ausencia de autenticación de dos factores y almacenamiento no cifrado de datos sensibles”, explicó Artem Zinenko, jefe del equipo de Investigación y Evaluación de Vulnerabilidades del Kaspersky ICS CERT. “Este caso demuestra cómo un solo punto débil en la infraestructura de un contratista puede derivar en el compromiso total de una flota de vehículos conectados”.
Recomendaciones para fortalecer la ciberseguridad automotriz
A partir del análisis realizado, los especialistas de Kaspersky destacaron una serie de recomendaciones para minimizar los riesgos asociados a la infraestructura digital de la industria automotriz.
Para contratistas:
-
Restringir el acceso a servicios web mediante VPN
-
Aislar esos servicios de la red corporativa
-
Aplicar políticas estrictas de contraseñas
-
Activar autenticación de dos factores
-
Cifrar todos los datos sensibles
-
Integrar los registros de actividad con sistemas SIEM para monitoreo en tiempo real
Para fabricantes:
-
Limitar estrictamente el acceso del vehículo a la plataforma telemática
-
Utilizar allowlists para controlar interacciones de red
-
Deshabilitar la autenticación por contraseña SSH
-
Ejecutar servicios con privilegios mínimos
-
Garantizar la autenticidad de los comandos enviados a las TCU
Una señal de alerta para una industria cada vez más conectada
La investigación confirma que, en un ecosistema automotriz cada vez más digitalizado, la superficie de ataque crece y se complejiza. La interdependencia entre fabricantes y contratistas hace que la seguridad ya no dependa solo de la arquitectura del vehículo, sino de toda la cadena de proveedores. Para Kaspersky, este caso es un recordatorio contundente: la protección de los vehículos conectados exige ciberseguridad sólida, integral y continua, desde el software de terceros hasta los sistemas que interactúan directamente con componentes críticos de conducción.
Leer más
- Check Point Software amplía la seguridad para aplicaciones de IA generativa integrando CloudGuard WAF con la tecnología de Lakera
- Zoho One: nueva interfaz, IA integrada y mayor conexión de apps
- Google presenta Gemini 3, su modelo de IA más avanzado y potente hasta la fecha
