Una brecha de ciberseguridad permite controlar remotamente vehículos conectados
12 de noviembre de 2025
Durante el Security Analyst Summit 2025, Kaspersky presentó los resultados de una auditoría de seguridad que reveló una vulnerabilidad crítica capaz de permitir el acceso no autorizado a todos los vehículos conectados de un importante fabricante de automóviles.
El fallo, causado por una vulnerabilidad de tipo zero-day en una aplicación pública utilizada por un contratista, permitió a los investigadores tomar el control del sistema telemático de los vehículos, poniendo en riesgo la seguridad física de conductores y pasajeros. En los escenarios más extremos, un ciberdelincuente podría llegar a cambiar de marcha o apagar el motor mientras el coche está en movimiento. Estas conclusiones evidencian las deficiencias del sector de la automoción en materia de ciberseguridad y refuerzan la urgencia de aplicar medidas de protección más estrictas.
El punto de entrada: el contratista
La auditoría, realizada de forma remota se centró tanto en los servicios públicos del fabricante como en la infraestructura del contratista. Kaspersky detectó varios servicios web expuestos.
Primero, los investigadores identificaron una vulnerabilidad de inyección SQL en una wiki corporativa pública, lo que les permitió obtener una lista de usuarios y los hashes de sus contraseñas, algunas de las cuales se descifraron con facilidad debido a políticas de seguridad poco rigurosas.
Ese acceso sirvió como puerta de entrada al sistema de seguimiento de incidencias del contratista, que contenía información sensible sobre la configuración de la infraestructura telemática del fabricante. Entre los datos hallados figuraba un archivo con contraseñas cifradas de usuarios con acceso a uno de los servidores de telemática de los vehículos. En los automóviles modernos, la telemática permite recopilar, transmitir y analizar datos como la velocidad o la ubicación del coche.
Acceso desde los vehículos conectados
En la fase correspondiente a los vehículos, Kaspersky descubrió un firewall mal configurado que dejaba expuestos varios servidores internos. Los investigadores lograron acceder al sistema de archivos del servidor utilizando una contraseña de cuenta de servicio obtenida previamente, lo que les permitió localizar credenciales de otro contratista y obtener control total sobre la infraestructura telemática.
Lo más alarmante fue la detección de un comando de actualización de firmware que permitía cargar software modificado en la Unidad de Control Telemático (TCU). Desde este punto, fue posible acceder al bus CAN (Controller Area Network) del vehículo, el sistema que interconecta componentes esenciales como el motor, los sensores o la transmisión. A partir de ahí, se abrió el acceso a otros sistemas críticos, lo que potencialmente permitía manipular funciones clave del vehículo y ponía en riesgo la seguridad de los ocupantes.
“Las vulnerabilidades detectadas se deben a fallos bastante comunes en el sector de la automoción: servicios web públicos, contraseñas débiles, ausencia de autenticación en dos pasos (2FA) y almacenamiento de datos sensibles sin cifrar. Este caso demuestra cómo una sola brecha en la infraestructura de un proveedor puede derivar en el compromiso total de todos los vehículos conectados. El sector debe priorizar prácticas de ciberseguridad más robustas, sobre todo en sistemas de terceros, para proteger a los conductores y mantener la confianza en la tecnología conectada”, afirma Artem Zinenko, responsable de investigación de vulnerabilidades en Kaspersky ICS CERT.
Recomendaciones de seguridad
Para los contratistas:
- Restringir el acceso a servicios web mediante VPN.
- Aislar los servicios públicos del resto de la red corporativa.
- Aplicar políticas de contraseñas estrictas.
- Activar autenticación en dos pasos (2FA).
- Cifrar todos los datos sensibles.
- Integrar los registros con una solución SIEM para supervisión en tiempo real.
Para fabricantes
- Limitar el acceso a la plataforma telemática desde la red del vehículo.
- Utilizar allowlists para controlar las interacciones de red.
- Deshabilitar la autenticación por contraseña en SSH.
- Ejecutar los servicios con los privilegios mínimos necesarios.
- Garantizar la autenticidad de los comandos que se ejecutan en las TCUs.
- Integrar un sistema SIEM que permita detectar y responder con rapidez a cualquier incidente.
Kaspersky ICS CERT
El Kaspersky Industrial Control Systems Cyber Emergency Response Team (ICS CERT) está especializado en identificar y mitigar amenazas —tanto potenciales como activas— que afectan a los sistemas de automatización industrial y al Internet Industrial de las Cosas (IIoT). El equipo ha detectado y ayudado a resolver cientos de vulnerabilidades en productos ampliamente utilizados, reforzando así la seguridad y resiliencia de estos entornos críticos frente a ciberataques sofisticados..
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha frente a ciberamenazas emergentes y ataques dirigidos, la amplia experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma de forma constante en soluciones y servicios innovadores para proteger a particulares, empresas, infraestructuras críticas y gobiernos de todo el mundo. El porfolio completo de seguridad de la compañía incluye una protección líder de la vida digital para dispositivos personales, productos y servicios de seguridad especializados para empresas, así como soluciones Cyber Immune para hacer frente a amenazas digitales sofisticadas y en constante evolución. Ayudamos a millones de usuarios y a cerca de 200.000 clientes corporativos a proteger lo que más les importa. Más información en www.kaspersky.es
La entrada <strong>Una brecha de ciberseguridad permite controlar remotamente vehículos conectados</strong> se publicó primero en El negocio – Guía Informativa para Autónomos y Pymes.
