En esta época de grandes avances de las tecnologías de la información, en la que la capacidad de sorpresa es retada una y otra vez, y lo que ayer parecía futurista hoy ya empieza a formar parte del presente, puede que fuese interesante inaugurar una sección en este blog que comenzase con la primera frase del título de esta entrada.
Pero de momento es sólo una idea que se me ha ocurrido al leer el título y empezar a escribir el post. Ya veremos si prospera. Lo que nos atañe en este caso tiene que ver con algo que suena a película de ciencia ficción o a invento para James Bond, y está dentro del ámbito de los automóviles.
A nadie se le escapa que la informática también ha pasado a estar presente dentro de los coches, con unos paneles de mando que cada vez se parecen más a los de una nave espacial, y no precisamente a las ahora ya retro – futuristas de las sagas espaciales y galácticas que llevamos unas cuantas décadas viendo: Los softwares más o menos sofisticados, las interfaces mostrando la velocidad, reserva de gasolina, etc., las cámaras con asistencia para aparcar, los avisos de cierre de puertas y cinturones de seguridad, el GPS, el concepto de vehículos conectados… Un auténtico ordenador a bordo.
Puede que alguno ya esté echando de menos que hagamos cuanto antes una mención a la serie del Coche Fantástico. Pues sí, efectivamente, a eso nos recuerda todo. No os preocupéis, en cuanto la inteligencia artificial lleve a que un coche hable con nosotros como Kit hacía con Michel Knight, posiblemente escribamos otra entrada con esa frase de “ya está ocurriendo”.
Pero ahora, lo que ya está ocurriendo es que, con todo ese arsenal de herramientas digitales conectadas al alcance de los hackers maliciosos, estos ya se están colando, sin colarse físicamente, en los vehículos, pudiendo manejarlos desde fuera. De momento ya tienen la posibilidad de cambiar de marcha o apagar el motor del automóvil. Sobre conducirlo a donde ellos quieran, como quien se entretiene con un coche teledirigido en el parque pasando la mañana del domingo (por muy lúdica que suene la comparación, da miedito pensarlo), todavía no tenemos noticia.
Lo que sabemos es lo que aporta el artículo con el que os dejamos a continuación, ya elaborado por expertos en ciberseguridad… En fin, aunque esté ocurriendo, esperemos que no ocurra mucho…
Una brecha de ciberseguridad permite controlar remotamente vehículos conectados
Durante el Security Analyst Summit 2025, Kaspersky presentó los resultados de una auditoría de seguridad que reveló una vulnerabilidad crítica capaz de permitir el acceso no autorizado a todos los vehículos conectados de un importante fabricante de automóviles.
El fallo, causado por una vulnerabilidad de tipo zero-day en una aplicación pública utilizada por un contratista, permitió a los investigadores tomar el control del sistema telemático de los vehículos, poniendo en riesgo la seguridad física de conductores y pasajeros. En los escenarios más extremos, un ciberdelincuente podría llegar a cambiar de marcha o apagar el motor mientras el coche está en movimiento. Estas conclusiones evidencian las deficiencias del sector de la automoción en materia de ciberseguridad y refuerzan la urgencia de aplicar medidas de protección más estrictas.
El punto de entrada: el contratista
La auditoría, realizada de forma remota se centró tanto en los servicios públicos del fabricante como en la infraestructura del contratista. Kaspersky detectó varios servicios web expuestos.
Primero, los investigadores identificaron una vulnerabilidad de inyección SQL en una wiki corporativa pública, lo que les permitió obtener una lista de usuarios y los hashes de sus contraseñas, algunas de las cuales se descifraron con facilidad debido a políticas de seguridad poco rigurosas.
Ese acceso sirvió como puerta de entrada al sistema de seguimiento de incidencias del contratista, que contenía información sensible sobre la configuración de la infraestructura telemática del fabricante. Entre los datos hallados figuraba un archivo con contraseñas cifradas de usuarios con acceso a uno de los servidores de telemática de los vehículos. En los automóviles modernos, la telemática permite recopilar, transmitir y analizar datos como la velocidad o la ubicación del coche.
Acceso desde los vehículos conectados
En la fase correspondiente a los vehículos, Kaspersky descubrió un firewall mal configurado que dejaba expuestos varios servidores internos. Los investigadores lograron acceder al sistema de archivos del servidor utilizando una contraseña de cuenta de servicio obtenida previamente, lo que les permitió localizar credenciales de otro contratista y obtener control total sobre la infraestructura telemática.
Lo más alarmante fue la detección de un comando de actualización de firmware que permitía cargar software modificado en la Unidad de Control Telemático (TCU). Desde este punto, fue posible acceder al bus CAN (Controller Area Network) del vehículo, el sistema que interconecta componentes esenciales como el motor, los sensores o la transmisión. A partir de ahí, se abrió el acceso a otros sistemas críticos, lo que potencialmente permitía manipular funciones clave del vehículo y ponía en riesgo la seguridad de los ocupantes.
“Las vulnerabilidades detectadas se deben a fallos bastante comunes en el sector de la automoción: servicios web públicos, contraseñas débiles, ausencia de autenticación en dos pasos (2FA) y almacenamiento de datos sensibles sin cifrar. Este caso demuestra cómo una sola brecha en la infraestructura de un proveedor puede derivar en el compromiso total de todos los vehículos conectados. El sector debe priorizar prácticas de ciberseguridad más robustas, sobre todo en sistemas de terceros, para proteger a los conductores y mantener la confianza en la tecnología conectada”, afirma Artem Zinenko, responsable de investigación de vulnerabilidades en Kaspersky ICS CERT.