Una falla en un portal de concesionarios expuso datos y permitió control remoto de vehículos en Estados Unidos, según un investigador en ciberseguridad
Un investigador en ciberseguridad descubrió fallas en el portal web de concesionarios de un fabricante de autos. El fallo permitió la creación de una cuenta administrativa con acceso total a datos y funciones de vehículos en Estados Unidos. Eaton Zveare, especialista de la empresa Harness, declaró a TechCrunch que la vulnerabilidad facilitaba el acceso a información personal, datos financieros y herramientas de control remoto sobre automóviles.
En entrevista previa a su participación en la conferencia Def Con, realizada en Las Vegas, Zveare explicó que el sistema afectado estaba vinculado a más de mil concesionarios. Mediante un código cargado en el navegador durante la apertura de la página de inicio de sesión, logró modificar parámetros y eludir los mecanismos de autenticación, obteniendo un perfil de "administrador nacional" con privilegios plenos. El fabricante involucrado no fue identificado, aunque se indicó que posee varias marcas conocidas.
Igualmente, entre las funciones habilitadas por este acceso se encontraba una herramienta de búsqueda nacional que permitía identificar propietarios utilizando el número de serie de un vehículo o datos básicos como nombre y apellido. En una prueba controlada, realizada con autorización, Zveare transfirió la propiedad de un automóvil a una cuenta bajo su control, lo que habilitó el desbloqueo de puertas desde una aplicación móvil.
Además, el investigador identificó que el portal empleaba un sistema de inicio de sesión único, lo que otorgaba acceso a otras plataformas internas interconectadas. Este método facilitaba la "suplantación" de usuarios, permitiendo a un administrador ingresar a las cuentas de otros empleados sin necesidad de sus credenciales. Según Zveare, este tipo de función ya se había observado en 2023 en un portal de concesionarios de Toyota.
Dentro del sistema, el especialista localizó datos personales, información financiera y herramientas de telemetría. Estas últimas mostraban la ubicación en tiempo real de vehículos de cortesía, unidades en traslado y automóviles en alquiler. También ofrecían la opción de cancelar envíos, acción que el especialista de Harness no ejecutó.
El hallazgo se produjo a inicios de 2025 durante un proyecto personal. Tras el reporte, el fabricante corrigió los errores en aproximadamente una semana, en febrero del mismo año. El investigador afirmó que no se encontraron evidencias de explotación previa por terceros.
Finalmente, en sus declaraciones, Zveare puntualizó que el incidente se originó por dos vulnerabilidades en la API del sistema relacionadas con procesos de autenticación. Afirmó que una implementación incorrecta de este componente puede comprometer la totalidad de una infraestructura digital, subrayando la gravedad de las vulnerabilidades en concesionarios.