Se ha descubierto una vulnerabilidad de día cero que amenaza la seguridad global de los sistemas de vehículos conectados.

Este anuncio se realizó en la conferencia Security Analyst Summit 2025. Se trata de una vulnerabilidad de día cero en la aplicación pública del proveedor asociado, que permite el acceso no autorizado al sistema telemático, el cerebro que controla y recopila datos del vehículo. En un ataque real, los ciberdelincuentes podrían forzar cambios de marcha o apagar el motor en marcha, poniendo en grave peligro la seguridad del conductor y los pasajeros.

Phát hiện lỗ hổng zero-day đe dọa an toàn hệ thống xe kết nối toàn cầu - Ảnh 1. — Kaspersky descubre una grave vulnerabilidad de seguridad que amenaza la seguridad de los vehículos.

Según Kaspersky, la evaluación de seguridad se realizó de forma remota y se centró en los servicios públicos del fabricante y del contratista. Los expertos descubrieron varios puertos de acceso expuestos a Internet y una vulnerabilidad de inyección SQL en la aplicación wiki, lo que les permitió extraer datos de usuario y contraseñas cifradas. Parte de estas contraseñas fueron descifradas, obteniendo así acceso al sistema de seguimiento de incidentes que contenía información de configuración sensible de la infraestructura telemática, incluyendo un archivo con las contraseñas cifradas de los usuarios del servidor.

En lo que respecta al sistema de coche conectado, el equipo descubrió un cortafuegos mal configurado que exponía los servidores internos.

Utilizando las credenciales obtenidas, accedieron al sistema de archivos e incluso pudieron enviar comandos de actualización de firmware modificados al controlador telemático (TCU).

Esta acción permite el acceso a la red de área local (CAN), que coordina el motor, la transmisión y los sensores, lo que significa que se pueden controlar muchas funciones importantes del vehículo.

“Estas vulnerabilidades se deben a errores comunes como el uso de contraseñas débiles, la falta de autenticación de dos factores y la ausencia de cifrado de datos confidenciales. Un solo eslabón débil en la cadena de suministro puede comprometer todo el sistema del coche inteligente”, afirmó Artem Zinenko, director de Investigación y Evaluación de Seguridad ICS CERT en Kaspersky.

Kaspersky insta a los fabricantes de automóviles a reforzar los controles de ciberseguridad, especialmente con la infraestructura de socios externos, para garantizar la seguridad del usuario y mantener la confianza en la tecnología de los coches conectados.

Recomendaciones de Kaspersky a contratistas y socios tecnológicos del sector automotriz:

Restringir el acceso a Internet a los servicios web mediante VPN, aislando así dichos servicios de la intranet corporativa.
Servicios web independientes, por lo que no están relacionados con la intranet corporativa.
Aplicar una política de contraseñas estricta
Habilitar la autenticación de dos factores (2FA)
Cifrar datos confidenciales
Integre el sistema de registro con la plataforma SIEM para monitorear y detectar incidentes en tiempo real. (SIEM - Gestión de Información y Eventos de Seguridad - es un sistema de gestión de información y eventos de seguridad que ayuda a detectar comportamientos anómalos o ciberataques de forma temprana).

Para los fabricantes de automóviles, Kaspersky recomienda restringir el acceso a la plataforma telemática (sistema que recopila y procesa datos del vehículo) desde la red del vehículo, permitiendo solo conexiones de red autorizadas, deshabilitando el inicio de sesión con contraseña SSH, operando los servicios con los permisos mínimos necesarios, asegurando la autenticidad de los comandos de control enviados a la TCU (unidad de control telemático del vehículo) e integrando una plataforma SIEM.

Fuente: https://nld.com.vn/phat-hien-lo-hong-zero-day-de-doa-an-toan-he-thong-o-to-ket-noi-toan-cau-196251113092524751.htm