Olvídate de las ganzúas ahora cualquier coche puede ser robado desde el navegador

En el sistema de acceso en línea para concesionarios de una de las mayores compañías automotrices del mundo se descubrió una vulnerabilidad que podía explotarse con solo examinar un poco el código de la página. El investigador de seguridad Eaton Zvear, de la empresa Harness, informó que, gracias a la falla, logró crear una cuenta administrativa con privilegios completos en el portal interno del fabricante. La brecha permitía acceder a datos confidenciales de clientes, información sobre vehículos e incluso controlar de forma remota funciones de los automóviles, incluida su apertura.

Zvear, quien anteriormente había detectado errores en sistemas de fabricantes de automóviles, encontró el fallo por casualidad como parte de un proyecto personal de fin de semana. Descubrió que, al cargarse la página de inicio de sesión, el navegador recibía código defectuoso que podía modificarse para eludir todos los mecanismos de autenticación. Con ello, era posible crear una cuenta de “administrador nacional” con acceso a más de mil puntos de venta en todo Estados Unidos.

A través de esta interfaz, se podían consultar datos personales de clientes —incluida información de contacto y parte de los datos financieros— y gestionar servicios vinculados a los vehículos. Entre las capacidades figuraban el seguimiento en tiempo real de coches de empresa y unidades en transporte, el uso de sistemas telemáticos e incluso la cancelación de envíos de automóviles.

Uno de los elementos más preocupantes era la herramienta de búsqueda de clientes, que permitía, con solo conocer el nombre y apellido, obtener información sobre un vehículo y su propietario. Zvear demostró que bastaba el número VIN de un coche aparcado en la calle para vincularlo a una persona específica. Según explicó, podía iniciarse un proceso para transferir el control del vehículo a otro usuario simplemente confirmando la acción, sin verificación alguna. Probó este escenario con el permiso de un amigo y logró tomar el control de su coche mediante la aplicación móvil.

Igualmente peligrosa era la posibilidad de acceder a los sistemas de otros concesionarios con un único inicio de sesión. Gracias al mecanismo SSO (Single Sign-On), la cuenta administrativa creada podía desplazarse entre distintas partes de la infraestructura e incluso suplantar a otro usuario, obteniendo así acceso a sus permisos, datos y sistemas sin que este lo advirtiera. Un fallo similar ya se había detectado anteriormente en el portal de concesionarios de Toyota.

El investigador calificó esta arquitectura como una auténtica “bomba de tiempo”, señalando que los usuarios podían visualizar y utilizar de forma invisible información crítica, incluidas operaciones comerciales, clientes potenciales y análisis internos. Según los informes, tras la divulgación privada del problema en febrero de 2025, la compañía corrigió la vulnerabilidad en una semana. La investigación mostró que el exploit no había sido usado previamente: Zvear fue, al parecer, el primero en detectarlo y reportarlo.

En palabras de Zvear, la raíz del problema volvió a ser algo básico: fallos en el sistema de autenticación del API. Solo dos vulnerabilidades expusieron todo el entorno interno de la red de concesionarios. Para él, es otro recordatorio de que, cuando el control de acceso falla, todo se viene abajo.