Durante el Security Analyst Summit 2025, Kaspersky reveló una vulnerabilidad crítica que permite el acceso no autorizado a vehículos conectados mediante la explotación de fallas en sistemas telemáticos. La investigación demostró que un atacante podría manipular funciones críticas como cambios de marcha o apagar el motor durante la conducción.
Artem Zinenko, jefe del equipo de Investigación y Evaluación de Vulnerabilidades del Kaspersky ICS CERT, explicó:
"Las fallas detectadas se originan en problemas muy comunes en la industria automotriz: servicios web públicos, contraseñas débiles, ausencia de autenticación de dos factores y almacenamiento no cifrado de datos sensibles. Este caso demuestra cómo un solo punto débil en la infraestructura de un contratista puede derivar en el compromiso total de una flota de vehículos conectados".
La brecha se identificó en una aplicación pública de un contratista donde los investigadores encontraron servicios web expuestos que permitieron obtener credenciales de acceso. Estas credenciales facilitaron el ingreso al sistema de seguimiento de incidencias, conteniendo información sensible sobre la configuración telemática. Los analistas descubrieron un firewall mal configurado en los vehículos que exponía servidores internos, logrando cargar firmware modificado en la unidad de control telemático y acceder al bus CAN para manipular componentes críticos.
Jonathan Munizaga
Kaspersky recomienda a contratistas restringir acceso mediante VPN, aplicar políticas estrictas de contraseñas, activar autenticación de dos factores y cifrar datos sensibles. A fabricantes sugiere limitar el acceso a plataformas telemáticas desde redes vehiculares, usar listas de permisos para interacciones de red y garantizar la autenticidad de comandos en unidades de control. Estas medidas buscan mitigar riesgos que comprometen la seguridad física de ocupantes y la integridad de vehículos conectados.
