Un estudio presentado por Kaspersky en el marco de su evento Security Analyst Summit 2025 se conoció la existencia de una vulnerabilidad crítica de tipo "zero day" en la infraestructura telemática de un gran fabricante de automóviles.
Según trascendió, esta falla permitía el control remoto de los vehículos conectados e incluso la ejecución de funciones peligrosas como apagar el motor mientras el coche estaba en marcha.
Los investigadores hallaron que un contratista asociado al fabricante disponía de servicios web públicos vulnerables, incluyendo una wiki corporativa, que permitía una inyección SQL.
Con ese acceso obtuvieron listas de usuarios y hashes de contraseñas, algunas de las cuales pudieron descifrarse debido a políticas de seguridad laxas.
Con esas credenciales pudieron acceder al sistema de seguimiento de incidencias del contratista, lo que les permitió obtener información sobre la configuración de infraestructura telemática del fabricante.
Un firewall mal configurado dejó servidores internos expuestos, por lo que los investigadores utilizaron una contraseña de cuenta de servicio para entrar en el sistema de archivos del servidor.
Dentro del sistema telemático, detectaron un comando de actualización de firmware que permitía cargar software modificado en la Unidad de Control Telemático (TCU), elemento que se comunica con el bus CAN, interconectando motor, sensores, transmisión, etc.
Como resultado, pudieron manipular funciones clave del vehículo, como apagar el motor mientras estaba en marcha, lo que supone un riesgo grave para conductores y pasajeros.
Según los expertos de Kaspersky, los errores detectados son relativamente comunes en el sector de la automoción, como uso de servicios web públicos sin protección adecuada, contraseñas débiles, falta de autenticación de doble factor (2FA) y almacenamiento de datos sensibles sin cifrar o bien protegidos.
Como señaló el responsable de investigación de vulnerabilidades en Kaspersky ICS CERT, Artem Zinenko: "Este caso demuestra cómo una sola brecha en la infraestructura de un proveedor puede derivar en el compromiso total de todos los vehículos conectados".
El hallazgo subraya una amenaza real para la seguridad de vehículos cada vez más conectados, y en un entorno donde los automóviles incorporan sistemas telemáticos, conectividad remota, actualizaciones por aire ("over-the-air updates").
Además, hoy los vehículos también cuentan con servicios en la nube, la cadena de proveedores y contratistas se vuelve tan esencial como el fabricante en sí, por lo que un fallo en uno de los eslabones puede empujar al vehículo al mundo del hackeo.
Para los usuarios finales (conductores, flotas, empresas de logística), esto implica que la confianza en la seguridad del vehículo ya no puede limitarse al fabricante: también abarca los servicios que lo conectan, las aplicaciones móviles, la infraestructura de servidor y los fabricantes de los módulos telemáticos.