16 marcas de coches tienen una vulnerabilidad que permite controlar el vehículo a distancia

Los hackers y cibercriminales se aprovechan de brechas de seguridad en los sistemas para realizar sus ataques. Es en estos momentos, cuando podemos considerar que un determinado equipo es vulnerable y nuestros datos pueden peligrar. Precisamente esto es lo que ha ocurrido en coches de BMW, Mercedes, Honda y Nissan, los cuales presentan graves vulnerabilidades que permiten a los atacantes hacerse con el control los vehículos y robar datos de los clientes.

La seguridad en nuestros dispositivos es fundamental en nuestro día a día. Que decir que nuestros PC suelen estar protegidos con actualizaciones de software y en caso de que ocurra una vulnerabilidad, rápidamente lanzan una mitigación para contrarrestarla. Pero en el mundo del automóvil es distinto y la aparición de graves vulnerabilidades supondría un caos en la industria si no se corrige a tiempo.

Más de una decena de marcas de coches son vulnerables a ataques​

Fue el pasado otoño, cuando unos investigadores de seguridad descubrieron graves vulnerabilidades que afectaban a un total de 16 marcas de automóviles. Debido a estas vulnerabilidades, los atacantes eran capaz de rastrear, controlar y robar coches de marcas como Acura, Honda, Infiniti y Nissan utilizando únicamente el número de identificación de los automóviles. Junto a estos, tenemos modelos de Kia, Hyundai y Genesis que están expuestos a problemas similares. Otras vulnerabilidades afectaron a BMW, Mercedes Benz y Rolls Royce, donde los hackers podían aprovechar los inicios de sesión mal configurados.

Los investigadores descubrieron que los atacantes podían tener acceso a la información de concesionarios de BMW y obtener cuentas de empleados de la compañía. Además, hubo una brecha de seguridad en la web de Ferrari, donde pudieron acceder con privilegios administrativos y eran capaces de borrar toda la información de los clientes. Para más inri, descubrieron que todas las matrículas digitales de California eran vulnerables a los ataques. Todo esto ocurre, después de que el propio estado legalizara las matrículas digitales el año pasado.

Los atacantes podían rastrear y controlar a distancia vehículos policiales​

Spireon web atacada


La actualización de estas vulnerabilidades resulta que afecta también a otro tipo de vehículos, pudiendo así rastrear, controlar o realizar el robo de vehículos de emergencia o policiales. Según parece, esta vez han usado la empresa que controla el GPS y telemática de estos vehículos a su favor. Resulta que Spireon Systems controla más de 15 millones de dispositivos y la mayoría de ellos son coches. Sabiendo que el sitio web está anticuado, los hackers podían entrar en él con una cuenta de administrador.

Habiendo hecho esta prueba, se pudo confirmar que era posible rastrear y controlar a distancia flotas de vehículos policiales, ambulancias o vehículos de empresa. Entre las acciones que podían realizar los atacantes se incluye el desbloqueo de coches, arranque de motores y hasta distribuir malware con actualizaciones de firmware. Ahora bien, buscando más información al respecto, desde BleepingComputer aseguran que los piratas informáticos avisaron con 90 días de antelación a las compañías de los vehículos afectados. Gracias a esto, todas las compañías afectadas han tenido tiempo para corregir las vulnerabilidades de sus coches y no hay peligro a día de hoy.