Falla en sistema de concesionarios permitió control total sobre vehículos y datos

Ciudad de México  

Autor:

Sergio F Cara (NotiPress/Composición)

Investigador accedió a funciones administrativas, telemetría y datos personales por error en autenticación

 

Unfallo crítico en el sistema web de concesionarios de un fabricante de automóvilespermitió la creación de una cuenta administrativa con acceso total a vehículos y datos personales en Estados Unidos. El hallazgo fue realizado por Eaton Zveare, investigador en ciberseguridad de la empresa Harness, quien reveló la vulnerabilidad en entrevista con TechCrunch antes de su presentación en la conferencia Def Con en Las Vegas.

El sistema afectado estaba vinculado a más de mil concesionarios. Según Zveare, un código cargado en el navegador durante el ingreso al portal permitía modificar parámetros y eludir la autenticación, generando un perfil con privilegios completos como "administrador nacional". Aunque el fabricante no fue identificado, se informó que opera varias marcas conocidas en el mercado automotor.

Entre las funciones accesibles se encontraba una herramienta de búsqueda que permitía localizar propietarios mediante el número de serie del vehículo o datos básicos. En una prueba controlada, el especialista transfirió la propiedad de un automóvil a una cuenta bajo su control, habilitando así el desbloqueo remoto desde una aplicación móvil.

El portal también utilizaba un sistema de inicio de sesión único que otorgaba acceso a otras plataformas internas. Esta característica permitía a usuarios con privilegios altos suplantar a otros empleados sin requerir sus credenciales. Zveare señaló que un sistema similar fue observado en 2023 en el portal de concesionarios de Toyota.

Además, el investigador accedió a información financiera, datos personales y herramientas de telemetría. Estas últimas mostraban ubicaciones en tiempo real de vehículos en traslado, alquiler o cortesía, así como funciones para cancelar envíos. Aunque identificó estas capacidades, no ejecutó acciones sobre los sistemas.

El incidente fue descubierto a inicios de 2025 durante un proyecto personal. Tras el reporte,el fabricante corrigió las fallas en aproximadamente una semana, en febrero de ese mismo año. Según Zveare, no se encontraron evidencias de accesos no autorizados por terceros.

De acuerdo con el especialista, el problema se originó por dos fallas en la API relacionadas con procesos de autenticación. "Una implementación incorrecta de este componente puede comprometer la totalidad de una infraestructura digital", afirmó, destacando la gravedad de las vulnerabilidades presentes en sistemas de concesionarios.

 

CiberseguridadVehículos autónomosTecnología

¿Te gustó el contenido?

 

 

Recibe las noticias por correo

Entérate de la economía, noticias internacionales y el impacto en los negocios. Aviso de privacidad



 

Publicaciones más recientes

Artículos relacionados

Fiscalización 2026 pone en la mira a empresas con actividades difíciles de comprobarFiscalización 2026 pone en la mira a empresas con actividades difíciles de comprobar
Una red comunitaria transforma el reciclaje de poliestireno en la Ciudad de MéxicoUna red comunitaria transforma el reciclaje de poliestireno en la Ciudad de México
Lesión d columna obliga a bailarina de Tijuana a suspender su carrera profesionalLesión d columna obliga a bailarina de Tijuana a suspender su carrera profesional
Falta de resultados reproducibles frena uso de IA en finanzas y sector legalFalta de resultados reproducibles frena uso de IA en finanzas y sector legal