La creciente conectividad de los vehículos modernos está transformando la industria de la automoción, pero también trae consigo riesgos significativos en el ámbito de la ciberseguridad. Subaru, una marca de coches reconocida por su confiabilidad y enfoque en la seguridad, se enfrenta una situación delicada tras el descubrimiento de una grave vulnerabilidad en su sistema STARLINK, que expuso a millones de vehículos a posibles ataques remotos.

La vulnerabilidad de STARLINK

En noviembre de 2024, según informa Wired investigadores en ciberseguridad, liderados por Shubham Shah, identificaron una debilidad crítica en el servicio STARLINK de Subaru. Este sistema, que conecta los vehículos de la marca con aplicaciones y servicios en la nube, permitía a los atacantes acceder a información sensible y controlar diversas funciones del auto de manera remota.

Entre las capacidades de que podían explotar los atacantes estaban:

  • Encender y apagar motores.
  • Bloquear y desbloquear puertas.
  • Rastrear ubicaciones en tiempo real y obtener historiales detallados de movimiento de hasta un año.
  • Acceder a información personal de los usuarios, como direcciones, datos de facturación y contactos de emergencia.
  • Extraer datos adicionales, incluyendo historiales de llamadas de soporte, registros de ventas y lecturas del odómetro.

La explotación de esta vulnerabilidad solo requería datos básicos como el nombre y el código postal del propietario, o incluso la matrícula del vehículo.

Cómo se descubrió el fallo

El descubrimiento comenzó con un análisis de la aplicación móvil MySubaru, que resultó estar bien protegida. Sin embargo, los investigadores redirigieron su atención a los sistemas internos usados por empleados de Subaru. Mediante exploraciones de subdominios, identificaron un portal administrativo de STARLINK que, inicialmente, parecía inofensivo.

Tras examinar el código fuente del sitio web, los investigadores encontraron un archivo JavaScript que apuntaba a endpoints de recuperación de contraseña.

Sorprendentemente, el sistema permitía restablecer contraseñas de cuentas de empleados sin requerir un token de confirmación. Utilizando información públicamente disponible, como correos electrónicos de empleados extraídos de LinkedIn, los investigadores lograron infiltrarse en el sistema.

Una vez dentro, deshabilitaron capas de seguridad, incluyendo la autenticación en dos pasos (2FA), y obtuvieron acceso completo a las funcionalidades administrativas de STARLINK. Este acceso les permitió:

  • Ver y exportar historiales detallados de ubicación de cualquier vehículo conectado.
  • Buscar cuentas de clientes con identificadores básicos como el VIN o el código postal.
  • Agregar usuarios no autorizados a vehículos, sin que los propietarios fueran notificados.

Para verificar sus hallazgos, los investigadores probaron el acceso en el vehículo de un amigo (con su permiso). Lograron desbloquear el auto de manera remota y sin activar alertas o notificaciones al propietario. También extrajeron coordenadas GPS actualizadas cada vez que el motor era encendido, recopilando miles de puntos de datos precisos.

Respuesta de Subaru

Subaru actuó con rapidez tras recibir el informe de los investigadores el 20 de noviembre de 2024. En menos de 24 horas, la compañía parcheó la vulnerabilidad, eliminando el acceso no autorizado y reforzando las medidas de seguridad en sus sistemas. Además, Subaru confirmó que no había evidencia de que la falla hubiera sido explotada con fines maliciosos antes de ser corregida.

En un comunicado, Subaru resaltó su compromiso con la seguridad de los datos de sus clientes y agradeció a los investigadores por reportar el problema de manera responsable. La compañía también reafirmó su intención de realizar auditorías regulares para prevenir futuros incidentes.

Implicaciones más amplias

El incidente de Subaru pone de manifiesto los riesgos inherentes a la creciente digitalización en la industria automotriz. Los sistemas conectados, como STARLINK, recopilan y procesan cantidades masivas de datos, desde ubicaciones GPS hasta información personal de los usuarios. Aunque estas tecnologías mejoran la experiencia del conductor, también presentan oportunidades para los ciberataques.

Este caso también resalta cómo los sistemas administrativos internos pueden convertirse en un punto de entrada crítico para los atacantes. La combinación de contraseñas vulnerables, configuraciones incorrectas y acceso excesivo para los empleados crea un entorno propicio para las brechas de seguridad.

 

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre