El origen del fallo se encontraba en una vulnerabilidad zero-day dentro de una aplicación pública utilizada por uno de los contratistas del fabricante. Esta aplicación actuó como puerta de entrada al sistema telemático de los vehículos, un componente que recopila y transmite datos clave como la velocidad, la ubicación o el estado de distintos sensores. El hallazgo pone de manifiesto la fragilidad del sector automotriz ante riesgos derivados de terceros y la urgencia de fortalecer los protocolos de seguridad en toda la cadena tecnológica.
Según explicó Kaspersky, los investigadores comenzaron identificando varios servicios web expuestos pertenecientes al contratista. Entre ellos, una wiki corporativa con una vulnerabilidad de inyección SQL que permitió extraer listas de usuarios y hashes de contraseñas, algunas descifradas con relativa facilidad debido a políticas de protección insuficientes. Desde ese punto, accedieron al sistema de incidencias de la empresa, donde encontraron información sensible sobre la infraestructura telemática del fabricante y archivos con contraseñas cifradas de usuarios con privilegios elevados.
El avance continuó en el lado del fabricante. Kaspersky detectó un firewall mal configurado que dejaba abiertos varios servidores internos. Con las credenciales obtenidas previamente, los analistas lograron acceder al sistema de archivos del servidor telemático y localizar nuevas credenciales que terminaron dándoles control total de la infraestructura. Allí encontraron un comando de actualización de firmware que no solo permitía cargar software legítimo, sino también versiones modificadas.
Ese acceso les abrió la puerta al bus CAN, la red interna que conecta componentes críticos del vehículo como la transmisión, el motor, los frenos o múltiples sensores. Desde ese punto, la manipulación remota de funciones esenciales del automóvil pasaba de ser una posibilidad teórica a una amenaza real.
Para Artem Zinenko, responsable de investigación de vulnerabilidades en Kaspersky ICS CERT, los fallos detectados reflejan problemas recurrentes en la industria: servicios públicos expuestos, contraseñas débiles, ausencia de autenticación en dos pasos y almacenamiento de información sensible sin cifrado. “Este caso demuestra cómo una sola brecha en la infraestructura de un proveedor puede derivar en el compromiso total de todos los vehículos conectados. El sector debe priorizar prácticas de ciberseguridad más robustas, sobre todo en sistemas de terceros, para proteger a los conductores y mantener la confianza en la tecnología conectada”, aseguró.
La investigación evidencia que, en un ecosistema donde los vehículos dependen cada vez más de la conectividad, cualquier punto débil en la cadena puede desencadenar un riesgo global. El informe insiste en que el refuerzo de las prácticas básicas de seguridad no es solo una recomendación, sino una necesidad urgente para toda la industria.