Vulnerabilidades en Subaru STARLINK Exponen a sus Vehículos a Riesgos de Hackeo y Seguimiento

Última actualización:
  • Investigadores descubrieron fallos graves en el sistema STARLINK de Subaru, permitiendo accesos no autorizados a datos sensibles y control remoto de vehículos.
  • Los atacantes podrían acceder a un año de historial de ubicaciones, desbloquear vehículos y manipular funciones como la ignición y bocina.
  • Subaru solucionó las vulnerabilidades en menos de 24 horas tras ser informados, garantizando que no hubo accesos malintencionados documentados.
  • La industria automotriz enfrenta desafíos generalizados de ciberseguridad con sistemas de vehículos conectados mal protegidos.

Hacking en Subaru STARLINK

Recientes investigaciones han revelado serias vulnerabilidades en el sistema conectado STARLINK de Subaru, permitiendo a hackers acceder de forma remota y comprometer la seguridad de millones de vehículos en Estados Unidos, Canadá y Japón. Estos fallos de seguridad han encendido alertas sobre los riesgos inherentes de los vehículos conectados, que recopilan vastas cantidades de datos sensibles y dependen de la tecnología para operar muchas de sus funciones.

Los investigadores Sam Curry y Shubham Shah descubrieron que el sistema de Subaru sufría de múltiples deficiencias que permitían tomar control remoto de vehículos y acceder a información confidencial, como el historial de ubicaciones detallado de un año. Además, pudieron desbloquear puertas, manipular la ignición y hasta modificar configuraciones de usuario. Este descubrimiento destaca las amenazas de privacidad y seguridad asociadas con la digitalización de los automóviles.

¿Cómo se Identificaron las Vulnerabilidades?

El análisis comenzó cuando Curry decidió explorar el sistema conectado de un Subaru Impreza 2023 adquirido para su madre. Mientras investigaban, él y su compañero descubrieron un portal administrativo para empleados de Subaru que contenía graves fallos de seguridad. El portal permitía el reseteo de contraseñas sin confirmación, simplemente conociendo el correo electrónico de un empleado. Además, las preguntas de seguridad eran verificadas localmente en el navegador del usuario en lugar de en los servidores de Subaru, lo que facilitaba eludir esta capa de protección.

  Cómo desarrollar una política de seguridad informática efectiva

Tras obtener acceso a una cuenta de empleado, los investigadores demostraron que podían buscar vehículos utilizando datos básicos como un apellido, código postal, correo electrónico, teléfono o matrícula. Desde allí, podían manipular funciones del vehículo, acceder a su historial de ubicaciones, y obtener información personal del propietario, incluyendo direcciones, contactos de emergencia y detalles parciales de facturación.

Vulnerabilidad en Subaru

El Impacto de las Vulnerabilidades

Los riesgos asociados con este fallo son significativos. Entre los datos accesibles se incluyeron:

  • Un año completo de historial de ubicaciones, con coordenadas precisas actualizadas cada vez que se arrancaba el coche.
  • Información personal como nombres, direcciones, contactos de emergencia y detalles bancarios parciales.
  • Funciones del vehículo como el desbloqueo de puertas, encendido remoto y activación de la bocina.

Estas vulnerabilidades no solo ponían en riesgo la privacidad de los propietarios, sino que abrían posibilidades de robo, acoso e incluso sabotaje de vehículos. Los investigadores subrayaron que dichas brechas revelan un panorama preocupante para la ciberseguridad en la industria automotriz en general.

Respuesta de Subaru

Subaru fue alertada sobre estas vulnerabilidades en noviembre de 2024. Para su crédito, la compañía actuó rápidamente, parcheando el sistema en menos de 24 horas tras ser informados. Un portavoz de Subaru aseguró que “no se accedió a información de clientes sin autorización” y que los sistemas han sido mejorados con monitoreo continuo para prevenir amenazas futuras.

No obstante, los investigadores señalaron que, a pesar de los parches, los empleados de Subaru aún tienen acceso a la función que permite consultar historiales de ubicación por motivos laborales, lo que plantea preocupaciones de privacidad a largo plazo.

  El firewall y protección de red

Subaru STARLINK

Un Problema Extendido en la Industria

Según los investigadores, el caso de Subaru no es único. Vulnerabilidades similares han sido detectadas en vehículos de otras marcas, como Acura, Honda, Hyundai y Toyota. La falta de robustez en los sistemas de protección de datos es un problema recurrente en la industria, donde los fabricantes suelen priorizar la funcionalidad sobre la seguridad.

Un informe de Mozilla de 2023 clasificó a los automóviles modernos como una “pesadilla para la privacidad”, destacando que el 92% de los fabricantes no ofrece a los usuarios control sobre los datos recopilados y el 84% reserva el derecho de compartir o vender dicha información. Este nivel de exposición subraya la necesidad urgente de regulaciones más estrictas y estándares de ciberseguridad en el sector automotriz.

En su blog, Curry enfatizó la vulnerabilidad inherente de los sistemas que permiten a empleados consultar información sensible sin restricciones adecuadas. “La industria automotriz depende en gran medida de la confianza, pero carece de las barreras necesarias para proteger los datos del consumidor”, comentó.

Este incidente refuerza la importancia de implementar medidas de seguridad robustas y también sirve como recordatorio para los usuarios de ser conscientes de los riesgos que conlleva la conectividad en los automóviles.