Un fallo crítico en el sistema Starlink de Subaru, descubierto recientemente por investigadores de ciberseguridad, expuso a millones de vehículos en Estados Unidos, Canadá y Japón a posibles ataques. La vulnerabilidad, revelada por el investigador de seguridad Sam Curry y Shubham Shah, permitió a los hackers controlar remotamente vehículos utilizando únicamente la matrícula de un coche.
Un acceso alarmante con datos mínimos
El fallo en la plataforma Starlink fue identificado el 20 de noviembre de 2024 y se derivaba de un error en el endpoint de la API de administración del sistema, diseñado para permitir que empleados de Subaru reiniciaran contraseñas sin necesidad de un token de confirmación. Esta falla facilitaba el acceso arbitrario a las cuentas de clientes y sus vehículos con datos mínimos, como:
- Nombre y código postal del usuario.
- Dirección de correo electrónico, número de teléfono o matrícula del coche.
Una vez explotado, este acceso no autorizado ofrecía un control casi total sobre los vehículos, incluyendo:
- Encender, apagar, bloquear y desbloquear vehículos remotamente.
- Localizar el coche en tiempo real y acceder al historial de ubicaciones de hasta un año, con una precisión de 5 metros.
- Consultar información personal sensible (PII) de los usuarios, como direcciones físicas, contactos de emergencia, historial de ventas y detalles de facturación.
- Recuperar datos adicionales, como el historial de llamadas al soporte técnico y lecturas del odómetro.
Cómo se explotó la vulnerabilidad
Curry compartió un video en el que se demostraba cómo era posible recuperar el historial de ubicaciones de un vehículo Subaru en tan solo 10 segundos. Según explicó, una vez que los atacantes lograban comprometer la cuenta de un empleado mediante el endpoint problemático (resetPassword.json), podían eludir la autenticación de dos factores (2FA) eliminando la superposición de seguridad en la interfaz de usuario del portal de administración.
Además, los hackers podían buscar vehículos utilizando criterios simples como el número de matrícula o el VIN (número de identificación del vehículo), lo que les permitía modificar permisos y obtener acceso completo al coche.
Respuesta de Subaru: parche rápido y sin explotación activa
Subaru corrigió la vulnerabilidad en menos de 24 horas tras ser notificada por los investigadores, lo que evitó posibles ataques a gran escala. Según los reportes, no hay evidencia de que esta falla haya sido explotada de forma maliciosa antes de ser reparada.
Precedentes: un patrón preocupante en la industria
Este no es el primer incidente que pone en jaque la seguridad de los sistemas de vehículos. Los mismos investigadores descubrieron una vulnerabilidad similar en el portal de concesionarios de Kia, que permitía rastrear y potencialmente robar millones de coches fabricados desde 2013 utilizando solo la matrícula.
Reflexión: la urgencia de fortalecer la seguridad en automóviles conectados
La creciente conectividad de los vehículos a través de servicios como Starlink plantea importantes desafíos de seguridad. Aunque Subaru respondió con rapidez, este incidente destaca la necesidad urgente de:
- Auditorías de seguridad exhaustivas en sistemas críticos.
- Revisión de las prácticas de autenticación, especialmente en APIs sensibles.
- Educación y concienciación del usuario sobre los riesgos asociados a los vehículos conectados.
La industria automotriz debe tomar nota de estas lecciones para garantizar que los sistemas diseñados para facilitar la experiencia del usuario no se conviertan en puertas abiertas para los ciberdelincuentes.
vías: Bleeping computer y Sam curry
