{"id":85328,"date":"2025-08-12T04:27:58","date_gmt":"2025-08-12T04:27:58","guid":{"rendered":"https:\/\/enfoquenoticioso.com\/?p=85328"},"modified":"2025-08-12T04:27:58","modified_gmt":"2025-08-12T04:27:58","slug":"abrir-el-coche-desde-el-movil-promete-comodidad-un-fallo-ha-demostrado-que-puede-que-no-seamos-los-unicos-con-la-llave","status":"publish","type":"post","link":"https:\/\/enfoquenoticioso.com\/?p=85328","title":{"rendered":"Abrir el coche desde el m\u00f3vil promete comodidad. Un fallo ha demostrado que puede que no seamos los \u00fanicos con la llave"},"content":{"rendered":"<div>\n<p>Imagina que basta con asomarse al parabrisas de un coche para anotar su n\u00famero de bastidor \u2014un c\u00f3digo de 17 caracteres visible desde fuera\u2014, introducirlo en una herramienta interna, averiguar el nombre del propietario y <strong>vincular ese veh\u00edculo a una cuenta m\u00f3vil<\/strong>. A partir de ah\u00ed, podr\u00edas desbloquear las puertas a distancia desde una app oficial, sin tocar una cerradura ni forzar nada.<\/p>\n<p><!-- BREAK 1 --> <\/p>\n<p>Eso es justo <a rel=\"noopener, noreferrer\" href=\"https:\/\/techcrunch.com\/2025\/08\/10\/security-flaws-in-a-carmakers-web-portal-let-one-hacker-remotely-unlock-cars-from-anywhere\/\" target=\"_blank\">lo que demostr\u00f3 un investigador de ciberseguridad<\/a> tras acceder al portal interno que utilizan los concesionarios de una gran marca de coches. No hablamos de un ataque a usuarios ni a servidores p\u00fablicos, sino de una brecha en la plataforma empresarial que conecta al fabricante con su red de ventas. Una puerta trasera con acceso a funciones conectadas y datos personales.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_81 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Tabla de Contenido<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/enfoquenoticioso.com\/?p=85328\/#El_fallo_no_estaba_en_el_coche_sino_en_la_cadena_que_lo_une_todo\" >El fallo no estaba en el coche, sino en la cadena que lo une todo<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"El_fallo_no_estaba_en_el_coche_sino_en_la_cadena_que_lo_une_todo\"><\/span>El fallo no estaba en el coche, sino en la cadena que lo une todo<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Detr\u00e1s de este hallazgo est\u00e1 <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.linkedin.com\/in\/eatonz\/\" target=\"_blank\">Eaton Zveare<\/a>, que lleva a\u00f1os rastreando vulnerabilidades en plataformas digitales de grandes marcas, especialmente del sector del autom\u00f3vil. Esta vez no fue distinto. Zveare descubri\u00f3 que el portal web interno de una <strong>conocida marca de coches <\/strong>permit\u00eda modificar el comportamiento del sistema desde el propio navegador. Concretamente, logr\u00f3 alterar el c\u00f3digo de la p\u00e1gina de inicio de sesi\u00f3n para saltarse las comprobaciones de seguridad y crear una cuenta de administrador con privilegios nacionales. Con esa cuenta, el acceso abarcaba m\u00e1s de 1.000 concesionarios de Estados Unidos.<\/p>\n<p><!-- BREAK 3 -->  <\/p>\n<p>A partir de ah\u00ed, la dimensi\u00f3n del problema cambi\u00f3 por completo. No se trataba solo de acceder a recursos internos de un concesionario. La cuenta que logr\u00f3 generar le daba acceso al sistema completo: pod\u00eda ver los datos de todos los concesionarios conectados, actuar en nombre de otros usuarios sin necesidad de conocer sus credenciales y, lo m\u00e1s delicado, acceder a herramientas que permit\u00edan consultar <strong>informaci\u00f3n sobre los veh\u00edculos y sus propietarios<\/strong>. Todo eso desde una plataforma que, en teor\u00eda, est\u00e1 reservada a profesionales del sector.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p>Zveare no forz\u00f3 nada, no instal\u00f3 ning\u00fan software malicioso ni atac\u00f3 desde fuera. Lo que encontr\u00f3 fue una puerta mal cerrada dentro de un sistema leg\u00edtimo. Y lo m\u00e1s preocupante es que esa puerta no solo le permiti\u00f3 entrar: le ofrec\u00eda, desde dentro, un conjunto de herramientas que nadie fuera del fabricante deber\u00eda controlar con tanta facilidad.<\/p>\n<p><!-- BREAK 5 --><\/p>\n<div class=\"article-asset-image article-asset-normal article-asset-center\">\n<div class=\"asset-content\">\n                   <img class=\"centro_sinmarco\" height=\"2048\" width=\"2048\" loading=\"lazy\" decoding=\"async\" sizes=\"auto, 100vw\" fetchpriority=\"high\" srcset=\"https:\/\/i.blogs.es\/c893d5\/hacker\/450_1000.png 450w, https:\/\/i.blogs.es\/c893d5\/hacker\/650_1200.png 681w,https:\/\/i.blogs.es\/c893d5\/hacker\/1024_2000.png 1024w, https:\/\/i.blogs.es\/c893d5\/hacker\/1366_2000.png 1366w\" src=\"https:\/\/i.blogs.es\/c893d5\/hacker\/450_1000.png\" alt=\"Hacker\"\/><br \/>\n   <img decoding=\"async\" alt=\"Hacker\" class=\"centro_sinmarco\" src=\"https:\/\/i.blogs.es\/c893d5\/hacker\/450_1000.png\"\/><\/p><\/div>\n<\/div>\n<p>En Estados Unidos, las leyes que regulan la venta de veh\u00edculos var\u00edan por estado, pero comparten un principio com\u00fan: en muchos de ellos, <a rel=\"noopener, noreferrer\" href=\"https:\/\/apnews.com\/article\/direct-auto-sales-scout-motors-south-carolina-eedc94ff4347dc1eef4fd64a79375952\" target=\"_blank\">los fabricantes no pueden vender coches nuevos directamente al consumidor<\/a>. Est\u00e1n obligados a hacerlo a trav\u00e9s de concesionarios independientes, protegidos legalmente frente a la competencia directa del fabricante. Eso ha dado lugar a una estructura de red franquiciada que<strong> agrupa miles de puntos de venta y posventa.<\/strong><\/p>\n<p><!-- BREAK 6 --> <\/p>\n<p>Tesla ha intentado desmarcarse de ese modelo y vender directamente, pero no lo ha tenido f\u00e1cil. Aunque lo ha conseguido en algunos estados, en muchos otros sigue encontrando restricciones legales que le impiden vender o incluso entregar veh\u00edculos de forma directa. Su caso es la excepci\u00f3n m\u00e1s visible, pero no la norma.<\/p>\n<p><!-- BREAK 7 --><\/p>\n<p>Lo m\u00e1s delicado no es que este sistema mostrase informaci\u00f3n confidencial. Lo grave es que permit\u00eda actuar con privilegios elevados, como si uno formara parte de la estructura oficial del fabricante. Desde ah\u00ed, era posible asumir identidades de otros empleados, intervenir sobre veh\u00edculos registrados en cualquier parte del pa\u00eds o acceder a funciones pensadas exclusivamente para t\u00e9cnicos autorizados.<\/p>\n<p><!-- BREAK 8 --><\/p>\n<div class=\"article-asset-summary article-asset-normal article-asset-center\">\n<div class=\"asset-content\">\n<p> El portal estaba dise\u00f1ado para dar agilidad a la red de concesionarios, no para resistir un acceso malicioso desde dentro<\/p>\n<\/p><\/div>\n<\/div>\n<p>Como decimos arriba, cada coche tiene un n\u00famero de bastidor \u00fanico. Es un c\u00f3digo de 17 caracteres \u2014letras y n\u00fameros\u2014 que sirve para identificarlo legalmente en todo el mundo.<\/p>\n<p><!-- BREAK 9 --><\/p>\n<p>Lo que probablemente no imagina el conductor medio es que este c\u00f3digo est\u00e1 visible desde el exterior, en la base del parabrisas, y que en el contexto de este caso fue la clave de entrada. En una prueba real, <strong>Zveare introdujo un VIN visible desde fuera y obtuvo el nombre del propietario<\/strong>.\u00a0<\/p>\n<p><!-- BREAK 10 --> <\/p>\n<p>Zveare no intent\u00f3 conducir ning\u00fan veh\u00edculo ni alterar su configuraci\u00f3n f\u00edsica. Pero con el control que ten\u00eda, abrirlo a distancia y vaciar su interior habr\u00eda sido perfectamente posible.<\/p>\n<p><!-- BREAK 11 --><\/p>\n<p>A d\u00eda de hoy, <strong>el nombre del fabricante afectado no se ha hecho p\u00fablico<\/strong>. Y no es porque nadie lo sepa. El investigador que descubri\u00f3 la vulnerabilidad, s\u00ed conoce qu\u00e9 marca estaba detr\u00e1s del portal comprometido, pero ha decidido no mencionarla en su informe ni <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.linkedin.com\/feed\/update\/urn:li:activity:7350947515195699200\/\" target=\"_blank\">durante su presentaci\u00f3n en DEF CON<\/a>. Tampoco TechCrunch, el primer medio que se hizo eco del caso, ha revelado la identidad del fabricante.<\/p>\n<p><!-- BREAK 12 --><\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xataka.com\/movilidad\/desplome-tesla-europa-trae-malas-noticias-para-espana-concretamente-para-valencia\" class=\"pivot-outboundlink\" data-vars-post-title=\"El desplome de Tesla en Europa trae malas noticias para Espa\u00f1a. Concretamente, para Valencia \" target=\"_blank\" rel=\"noopener\"><br \/>\n     <img loading=\"lazy\" decoding=\"async\" alt=\"El desplome de Tesla en Europa trae malas noticias para Espa\u00f1a. Concretamente, para Valencia \" width=\"375\" height=\"142\" src=\"https:\/\/i.blogs.es\/e6c6d2\/tesla-valencia2\/375_142.jpeg\"\/><br \/>\n    <\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p>No es algo tan inusual. En algunos casos, los investigadores optan por mantener el anonimato de la empresa implicada por prudencia, incluso cuando la vulnerabilidad ya ha sido corregida para evitar poner en riesgo a terceros: concesionarios, empleados o clientes que a\u00fan dependan de ese sistema. Tambi\u00e9n puede influir el hecho de que la plataforma comprometida daba acceso a redes enteras, no a un servidor aislado.<\/p>\n<p><!-- BREAK 13 --><\/p>\n<p>Im\u00e1genes | Xataka con Gemini 2.5 Flash<\/p>\n<p>En Xataka | <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/movilidad\/bugatti-tourbillon-cuesta-casi-cuatro-millones-euros-no-tiene-altavoces-asi-tiene-sonido-otro-universo\" data-vars-post-title=\"Bugatti decidi\u00f3 no poner altavoces en un coche de cuatro millones de euros. Su secreto es una t\u00e9cnica de 1881\" data-vars-post-url=\"https:\/\/www.xataka.com\/movilidad\/bugatti-tourbillon-cuesta-casi-cuatro-millones-euros-no-tiene-altavoces-asi-tiene-sonido-otro-universo\" target=\"_blank\" rel=\"noopener\">Bugatti decidi\u00f3 no poner altavoces en un coche de cuatro millones de euros. Su secreto es una t\u00e9cnica de 1881<\/a><\/p>\n<\/p><\/div>\n<p><a href=\"https:\/\/www.xataka.com\/movilidad\/abrir-coche-movil-promete-comodidad-fallo-ha-demostrado-que-puede-que-no-seamos-unicos-llave\" class=\" target=\" title=\"Abrir el coche desde el m\u00f3vil promete comodidad. Un fallo ha demostrado que puede que no seamos los \u00fanicos con la llave\" target=\"_blank\" rel=\"noopener\">Ver fuente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Imagina que basta con asomarse al parabrisas de un coche para anotar su n\u00famero de bastidor \u2014un c\u00f3digo de 17 caracteres visible desde fuera\u2014, introducirlo en una herramienta interna, averiguar el nombre del propietario y vincular ese veh\u00edculo a una cuenta m\u00f3vil. A partir de ah\u00ed, podr\u00edas desbloquear las puertas a distancia desde una app [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":85329,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-85328","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/85328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=85328"}],"version-history":[{"count":0,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/85328\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/media\/85329"}],"wp:attachment":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=85328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=85328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=85328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}