Falla en sistema de concesionarios permitió control total sobre vehículos y datos

Ciudad de México  

Autor:

Sergio F Cara (NotiPress/Composición)

Investigador accedió a funciones administrativas, telemetría y datos personales por error en autenticación

 

Unfallo crítico en el sistema web de concesionarios de un fabricante de automóvilespermitió la creación de una cuenta administrativa con acceso total a vehículos y datos personales en Estados Unidos. El hallazgo fue realizado por Eaton Zveare, investigador en ciberseguridad de la empresa Harness, quien reveló la vulnerabilidad en entrevista con TechCrunch antes de su presentación en la conferencia Def Con en Las Vegas.

El sistema afectado estaba vinculado a más de mil concesionarios. Según Zveare, un código cargado en el navegador durante el ingreso al portal permitía modificar parámetros y eludir la autenticación, generando un perfil con privilegios completos como "administrador nacional". Aunque el fabricante no fue identificado, se informó que opera varias marcas conocidas en el mercado automotor.

Entre las funciones accesibles se encontraba una herramienta de búsqueda que permitía localizar propietarios mediante el número de serie del vehículo o datos básicos. En una prueba controlada, el especialista transfirió la propiedad de un automóvil a una cuenta bajo su control, habilitando así el desbloqueo remoto desde una aplicación móvil.

El portal también utilizaba un sistema de inicio de sesión único que otorgaba acceso a otras plataformas internas. Esta característica permitía a usuarios con privilegios altos suplantar a otros empleados sin requerir sus credenciales. Zveare señaló que un sistema similar fue observado en 2023 en el portal de concesionarios de Toyota.

Además, el investigador accedió a información financiera, datos personales y herramientas de telemetría. Estas últimas mostraban ubicaciones en tiempo real de vehículos en traslado, alquiler o cortesía, así como funciones para cancelar envíos. Aunque identificó estas capacidades, no ejecutó acciones sobre los sistemas.

El incidente fue descubierto a inicios de 2025 durante un proyecto personal. Tras el reporte,el fabricante corrigió las fallas en aproximadamente una semana, en febrero de ese mismo año. Según Zveare, no se encontraron evidencias de accesos no autorizados por terceros.

De acuerdo con el especialista, el problema se originó por dos fallas en la API relacionadas con procesos de autenticación. "Una implementación incorrecta de este componente puede comprometer la totalidad de una infraestructura digital", afirmó, destacando la gravedad de las vulnerabilidades presentes en sistemas de concesionarios.

 

CiberseguridadVehículos autónomosTecnología

¿Te gustó el contenido?

 

 

Recibe las noticias por correo

Entérate de la economía, noticias internacionales y el impacto en los negocios. Aviso de privacidad



 

Publicaciones más recientes

Artículos relacionados

Pensamiento estratégico y auditoría: nuevas habilidades que demanda la IAPensamiento estratégico y auditoría: nuevas habilidades que demanda la IA
Jóvenes renuncian al trabajo en menos de dos años por buscar propósitoJóvenes renuncian al trabajo en menos de dos años por buscar propósito
Educación financiera, no fraude, impulsa el impago de créditos en MéxicoEducación financiera, no fraude, impulsa el impago de créditos en México
Un algoritmo reveló señales ocultas de apnea en mujeres, según Mayo ClinicUn algoritmo reveló señales ocultas de apnea en mujeres, según Mayo Clinic