Una vulnerabilidad en los servicios de Subaru permitía a los hackers desbloquear coches y rastrear el historial de viajes de los conductores

Por: Volodymyr Kolominov | 24.01.2025, 12:35
Cómo funcionan los Servicios Conectados Subaru Starlink: Visión general del servicio Imagen ilustrativa de los Servicios Conectados Subaru Starlink. Captura de pantalla del vídeo de YouTube. Fuente: Subaru

A finales del año pasado, unos investigadores descubrieron una grave vulnerabilidad de seguridad en el servicio web interno de Subaru y en el sistema para vehículos Subaru Starlink. Se abría el acceso completo a los datos personales de los clientes de la compañía, incluyendo el historial de localización, contactos de emergencia, historial de llamadas, y más.

Esto es lo que sabemos

Los investigadores en ciberseguridad Sam Curry y Shubham Shah descubrieron la vulnerabilidad en noviembre de 2024 mientras investigaban el Subaru Impreza 2023 de la madre de Curry, que él había comprado un año antes. Curry dijo a Wired en un comentario que había accedido al menos a un año de historial de localización exacta del coche y otra información sensible.

Los investigadores lograron entrar en el sitio web de Subaru con una cuenta pirateada de un empleado de la empresa. Esto les permitió controlar las funciones Starlink del coche y acceder a una gran cantidad de datos personales, como el nombre del cliente, sus contactos de emergencia, su historial de llamadas, la dirección de su casa e incluso el PIN del coche. También podían desbloquear el coche y arrancarlo a distancia. Todo lo que necesitaban era el apellido de la víctima junto con el número de matrícula del coche, el código postal del propietario, el número de teléfono o la dirección de correo electrónico.

Por suerte para Subaru, esta vulnerabilidad ya no existe. Además, el fabricante de automóviles corrigió la laguna para los atacantes en menos de 24 horas tras ser notificado de ella. Sin embargo, según Sam Curry, el problema no es sólo que personas no autorizadas puedan acceder a los coches, sino que prácticamente cualquier empleado del fabricante de vehículos tiene pleno acceso a la información sensible de los usuarios. Esto probablemente no sólo se aplica a Subaru, sino a la industria automovilística en su conjunto.

Fuente: Wired