Vulnerabilidades de seguridad en el portal web de un fabricante de automóviles permiten a un hacker desbloquear coches desde cualquier lugar de forma remota.
Créditos de la imagen: David Wall / Getty Images
Un investigador de seguridad dijo que las fallas en el portal de ventas en línea de un fabricante de automóviles expusieron la información privada y los datos del vehículo de sus clientes, y podrían haber permitido a los hackers acceder de forma remota a los vehículos de sus clientes.
Eaton Zveare, quien trabaja como investigador de seguridad en la empresa de entrega de software Harness, le dijo a TechCrunch que el fallo que descubrió permitió la creación de una cuenta de administrador que otorgaba “acceso sin restricciones” al portal web centralizado de un fabricante de automóviles sin nombre.
Con este acceso, un hacker malintencionado podría haber visto los datos personales y financieros de los clientes del fabricante de automóviles, rastrear vehículos y inscribir a los clientes en características que permiten a los propietarios, o a los hackers, controlar algunas funciones de sus vehículos desde cualquier lugar.
Zveare dijo que no planea nombrar al proveedor, pero dijo que era un fabricante de automóviles ampliamente conocido con varias marcas populares.
En una entrevista con TechCrunch antes de su charla en la conferencia de seguridad Def Con en Las Vegas el domingo, Zveare dijo que los errores pusieron de manifiesto la seguridad de estos sistemas de concesionarios, que otorgan a sus empleados y asociados un amplio acceso a la información de los clientes y los vehículos.
Zveare, quien ha encontrado errores en los sistemas de clientes de fabricantes de automóviles y sistemas de gestión de vehículos antes, encontró el fallo a principios de este año como parte de un proyecto de fin de semana, le dijo a TechCrunch.
Dijo que, aunque encontrar las fallas en el sistema de inicio de sesión del portal fue un desafío, una vez que las encontró, los errores le permitieron eludir el mecanismo de inicio de sesión permitiéndole crear una nueva cuenta de “administrador nacional”.
Los errores fueron problemáticos porque el código defectuoso se cargaba en el navegador del usuario al abrir la página de inicio de sesión del portal, permitiendo al usuario, en este caso Zveare, modificar el código para eludir los controles de seguridad de inicio de sesión. Zveare le dijo a TechCrunch que el fabricante de automóviles no encontró evidencia de explotación pasada, sugiriendo que él fue el primero en encontrarlo y reportarlo al fabricante de automóviles.
Cuando se inició sesión, la cuenta otorgó acceso a más de 1.000 de los concesionarios del fabricante de automóviles en los Estados Unidos, le dijo a TechCrunch.
“Nadie sabe que estás viendo todos los datos de estos concesionarios, todas sus finanzas, toda su información privada, todas sus oportunidades, sin más”, dijo Zveare, describiendo el acceso.
Zveare dijo que una de las cosas que encontró dentro del portal de concesionarios fue una herramienta de búsqueda de consumidores nacionales que permitió a los usuarios registrados en el portal buscar los datos del vehículo y del conductor de ese fabricante de automóviles.
En un ejemplo real, Zveare tomó el número de identificación único de un vehículo de la matrícula de un coche en un aparcamiento público y utilizó el número para identificar al propietario del coche. Zveare dijo que la herramienta podría usarse para buscar a alguien utilizando solo el nombre y el apellido del cliente.
Con acceso al portal, Zveare dijo que también era posible emparejar cualquier vehículo con una cuenta móvil, lo que permite a los clientes controlar algunas funciones de sus coches desde una aplicación, como desbloquear sus coches.
Zveare dijo que lo probó en un ejemplo real utilizando la cuenta de un amigo y con su consentimiento. Al transferir la propiedad a una cuenta controlada por Zveare, dijo que el portal solo requería una atestación, efectivamente una promesa de dedo, de que el usuario que realiza la transferencia de cuenta es legítimo.
“Para mis propósitos, simplemente conseguí un amigo que me dio permiso para tomar el control de su coche, y lo hice”, dijo Zveare a TechCrunch. “Pero [el portal] podría hacerlo básicamente con cualquiera solo conociendo su nombre, lo cual es un poco inquietante, o podría buscar un coche en los aparcamientos”.
Zveare dijo que no probó si podía llevarse el coche, pero dijo que la explotación podría ser abusada por ladrones para entrar en los coches y robar objetos, por ejemplo.
Otro problema clave con el acceso al portal de este fabricante de automóviles era que era posible acceder a los sistemas de otros concesionarios vinculados al mismo portal a través de la autenticación única, una función que permite a los usuarios iniciar sesión en múltiples sistemas o aplicaciones con solo un conjunto de credenciales de inicio de sesión. Zveare dijo que los sistemas del fabricante de automóviles para los concesionarios están todos interconectados, por lo que es fácil saltar de un sistema a otro.
Con esto, dijo que el portal también tenía una función que permitía a los administradores, como la cuenta de usuario que creó, “suplantar” a otros usuarios, efectivamente permitiendo el acceso a otros sistemas de concesionarios como si fueran ese usuario sin necesidad de sus credenciales de inicio de sesión. Zveare dijo que esto era similar a una función encontrada en un portal de concesionario de Toyota descubierta en 2023.
“Son auténticos pesadillas de seguridad”, dijo Zveare, refiriéndose a la función de suplantación de usuarios.
Una vez en el portal, Zveare encontró datos identificables de clientes, alguna información financiera y sistemas telemáticos que permitían el seguimiento en tiempo real de vehículos de alquiler o cortesía, así como de coches que se enviaban por todo el país, y la opción de cancelarlos, aunque Zveare no lo intentó.
Zveare dijo que los errores tardaron una semana en corregirse en febrero de 2025, poco después de su revelación al fabricante de automóviles.
“La lección es que solo dos simples vulnerabilidades de API abrieron las puertas, y siempre están relacionadas con la autenticación”, dijo Zveare. “Si te equivocas en eso, entonces todo se desmorona”.