Lima, noviembre de 2025.- Una auditoría de seguridad presentada por Kaspersky durante el Security Analyst Summit 2025 reveló una vulnerabilidad crítica en vehículos conectados de un fabricante automotriz, capaz de permitir que un atacante tome control remoto del sistema telemático y manipule funciones esenciales en plena conducción.
Según los especialistas, el hallazgo se originó en una falla de software presente en una aplicación pública utilizada por un contratista externo. Esta brecha abrió la puerta al acceso no autorizado al ecosistema digital del fabricante, comprometiendo la seguridad física de conductores y pasajeros. De acuerdo con los investigadores, un atacante con este nivel de acceso podría incluso forzar cambios de marcha o apagar el motor con el vehículo en movimiento, generando un riesgo severo para la integridad de las personas.
La auditoría se realizó de manera remota sobre los servicios expuestos del fabricante y la infraestructura tecnológica de su proveedor. En ese proceso, el equipo de Kaspersky identificó varios servicios web vulnerables aprovechables mediante un Zero-Day presente en la aplicación del contratista. Gracias a este vector, los analistas obtuvieron una lista de usuarios y los hashes de sus contraseñas, algunas de ellas descifradas con facilidad debido a políticas internas débiles. Este primer acceso permitió ingresar al sistema de seguimiento de incidencias del proveedor, un repositorio que almacenaba información sensible sobre la configuración de la infraestructura telemática del fabricante automotriz.
Entre los archivos obtenidos figuraban contraseñas cifradas pertenecientes a usuarios con acceso directo a uno de los servidores responsables de la telemática vehicular. Estos sistemas, esenciales en los automóviles modernos, recopilan y transmiten datos como velocidad, ubicación, estado del motor o actividad de sensores, por lo que representan un punto crítico dentro del ecosistema automotriz.
En el análisis del entorno de los vehículos, los especialistas descubrieron además un firewall mal configurado, lo que exponía servidores internos que deberían permanecer aislados. Utilizando las credenciales comprometidas, lograron ingresar a estos sistemas y encontrar comandos capaces de cargar firmware modificado en la unidad de control telemático (TCU). Este acceso permitió alcanzar el bus CAN (Controller Area Network), la red interna encargada de la comunicación entre los distintos componentes del vehículo, desde la transmisión hasta el motor. Con este nivel de interacción, la manipulación de funciones críticas resultaba técnicamente posible.
“Las fallas detectadas se originan en problemas muy comunes en la industria automotriz: servicios web públicos, contraseñas débiles, ausencia de autenticación de dos factores y almacenamiento no cifrado de datos sensibles. Este caso demuestra cómo un solo punto débil en la infraestructura de un contratista puede derivar en el compromiso total de una flota de vehículos conectados. La industria automotriz debe priorizar prácticas sólidas de ciberseguridad, especialmente en los sistemas de terceros”, afirmó Artem Zinenko, jefe del equipo de Investigación y Evaluación de Vulnerabilidades del Kaspersky ICS CERT.
Para mitigar estos riesgos, los expertos de Kaspersky plantearon una serie de recomendaciones.
A los contratistas, se les sugiere restringir el acceso a servicios web mediante VPN, aislarlos de la red corporativa, aplicar políticas estrictas de contraseñas, activar la autenticación de dos factores, cifrar datos sensibles e integrar los registros de actividad con sistemas SIEM para monitoreo continuo.
A los fabricantes, se les recomienda limitar el acceso a la plataforma telemática desde la red del vehículo, implementar listas de permisos (allowlists) para las interacciones de red, deshabilitar la autenticación por contraseña SSH, ejecutar servicios con privilegios mínimos y garantizar la autenticidad de los comandos recibidos por las TCU.
Kaspersky reiteró que la seguridad en la cadena de suministro tecnológica es hoy un componente indispensable para proteger a los usuarios y preservar la confianza en la evolución de los vehículos conectados. La compañía invita a fabricantes, proveedores y desarrolladores a fortalecer sus protocolos y adoptar medidas preventivas de manera continua.
Para más consejos sobre ciberseguridad, visita el blog oficial de la compañía.