Imagina que basta con asomarse al parabrisas de un coche para anotar su número de bastidor —un código de 17 caracteres visible desde fuera—, introducirlo en una herramienta interna, averiguar el nombre del propietario y vincular ese vehículo a una cuenta móvil. A partir de ahí, podrías desbloquear las puertas a distancia desde una app oficial, sin tocar una cerradura ni forzar nada.
Eso es justo lo que demostró un investigador de ciberseguridad tras acceder al portal interno que utilizan los concesionarios de una gran marca de coches. No hablamos de un ataque a usuarios ni a servidores públicos, sino de una brecha en la plataforma empresarial que conecta al fabricante con su red de ventas. Una puerta trasera con acceso a funciones conectadas y datos personales.
El fallo no estaba en el coche, sino en la cadena que lo une todo
Detrás de este hallazgo está Eaton Zveare, que lleva años rastreando vulnerabilidades en plataformas digitales de grandes marcas, especialmente del sector del automóvil. Esta vez no fue distinto. Zveare descubrió que el portal web interno de una conocida marca de coches permitía modificar el comportamiento del sistema desde el propio navegador. Concretamente, logró alterar el código de la página de inicio de sesión para saltarse las comprobaciones de seguridad y crear una cuenta de administrador con privilegios nacionales. Con esa cuenta, el acceso abarcaba más de 1.000 concesionarios de Estados Unidos.
A partir de ahí, la dimensión del problema cambió por completo. No se trataba solo de acceder a recursos internos de un concesionario. La cuenta que logró generar le daba acceso al sistema completo: podía ver los datos de todos los concesionarios conectados, actuar en nombre de otros usuarios sin necesidad de conocer sus credenciales y, lo más delicado, acceder a herramientas que permitían consultar información sobre los vehículos y sus propietarios. Todo eso desde una plataforma que, en teoría, está reservada a profesionales del sector.
Zveare no forzó nada, no instaló ningún software malicioso ni atacó desde fuera. Lo que encontró fue una puerta mal cerrada dentro de un sistema legítimo. Y lo más preocupante es que esa puerta no solo le permitió entrar: le ofrecía, desde dentro, un conjunto de herramientas que nadie fuera del fabricante debería controlar con tanta facilidad.
En Estados Unidos, las leyes que regulan la venta de vehículos varían por estado, pero comparten un principio común: en la mayoría de ellos, los fabricantes no pueden vender coches nuevos directamente al consumidor. Están obligados a hacerlo a través de concesionarios independientes, protegidos legalmente frente a la competencia directa del fabricante. Eso ha dado lugar a una estructura de red franquiciada que agrupa miles de puntos de venta y posventa.
Tesla ha intentado desmarcarse de ese modelo y vender directamente, pero no lo ha tenido fácil. Aunque lo ha conseguido en algunos estados, en muchos otros sigue encontrando restricciones legales que le impiden vender o incluso entregar vehículos de forma directa. Su caso es la excepción más visible, pero no la norma.
Lo más delicado no es que este sistema mostrase información confidencial. Lo grave es que permitía actuar con privilegios elevados, como si uno formara parte de la estructura oficial del fabricante. Desde ahí, era posible asumir identidades de otros empleados, intervenir sobre vehículos registrados en cualquier parte del país o acceder a funciones pensadas exclusivamente para técnicos autorizados.
Como decimos arriba, cada coche tiene un número de bastidor único. Es un código de 17 caracteres —letras y números— que sirve para identificarlo legalmente en todo el mundo.
Lo que probablemente no imagina el conductor medio es que este código está visible desde el exterior, en la base del parabrisas, y que en el contexto de este caso fue la clave de entrada. En una prueba real, Zveare introdujo un VIN visible desde fuera y obtuvo el nombre del propietario. Desde el portal también era posible emparejar el vehículo a una nueva cuenta móvil.
Zveare no intentó conducir ningún vehículo ni alterar su configuración física. Pero con el control que tenía, abrirlo a distancia y vaciar su interior habría sido perfectamente posible.
A día de hoy, el nombre del fabricante afectado no se ha hecho público. Y no es porque nadie lo sepa. El investigador que descubrió la vulnerabilidad, sí conoce qué marca estaba detrás del portal comprometido, pero ha decidido no mencionarla en su informe ni durante su presentación en DEF CON. Tampoco TechCrunch, el primer medio que se hizo eco del caso, ha revelado la identidad del fabricante.
No es algo tan inusual. En algunos casos, los investigadores optan por mantener el anonimato de la empresa implicada por prudencia, incluso cuando la vulnerabilidad ya ha sido corregida para evitar poner en riesgo a terceros: concesionarios, empleados o clientes que aún dependan de ese sistema. También puede influir el hecho de que la plataforma comprometida daba acceso a redes enteras, no a un servidor aislado.
Imágenes | Xataka con Gemini 2.5 Flash
–
La noticia
Abrir el coche desde el móvil promete comodidad. Un fallo ha demostrado que puede que no seamos los únicos con la llave
fue publicada originalmente en
Xataka
por
Javier Marquez
.
