Un investigador de seguridad reveló que fallas en el portal de concesionarios de una reconocida marca automotriz expusieron datos privados de clientes y información vehicular, además de posibilitar que hackers accedieran remotamente a los vehículos.
Eaton Zveare, investigador de seguridad en Harness, explicó a TechCrunch que la vulnerabilidad hallada permitía crear cuentas de agencia con “acceso ilimitado” al portal central del fabricante, cuyo nombre no fue divulgado.
Con este privilegio, ciberdelincuentes podrían obtener datos personales y financieros de clientes, rastrear vehículos e incluso activar funciones de control remoto que permiten manipular ciertas operaciones del automóvil desde cualquier ubicación.
Zveare optó por no identificar al proveedor, pero confirmó que se trata de un fabricante importante con múltiples marcas populares.
En entrevista previa a su ponencia en Def Con (Las Vegas), el experto destacó cómo estos fallos exponen la fragilidad de sistemas que gestionan información sensible de concesionarios, empleados y clientes.
Tras descubrir vulnerabilidades similares en sistemas de clientes y gestión documental, Zveare detectó este último fallo durante una investigación personal.
El mecanismo de vulnerabilidad permitía evitar por completo el login al modificar código JavaScript cargado en el navegador durante la autenticación, creando cuentas administrativas fraudulentas. La marca afectada no encontró indicios de explotación previa.
El acceso obtenido abarcaba más de 1,000 concesionarios en EE.UU. “Podías observar silenciosamente toda la data financiera, clientes potenciales y detalles privados”, describió Zveare.
Entre las herramientas descubiertas destacaba un buscador interno que vinculaba VINs con información de propietarios usando sólo nombre y apellido, demostrado públicamente al identificar el dueño de un vehículo estacionado.
El portal permitía asociar cualquier unidad a cuentas móviles para control remoto (como desbloqueos), requiriendo únicamente una declaración jurada sin validación para transferencias de propiedad. “Con sólo conocer tu nombre podrían hacerte esto”, advirtió Zveare.
Otra vulnerabilidad crítica permitía acceso cruzado entre sistemas de diferentes concesionarios mediante inicio de sesión único (SSO), facilitando movimientos laterales entre plataformas interconectas.
La función de suplantación de identidad descubierta -similar a un fallo previo en Toyota- permitía a administradores “asumir identidades de otros usuarios sin autenticación adicional”, creando riesgos significativos.
Dentro del sistema se encontraron: datos personales identificables, información financiera, sistemas telemáticos para rastreo en tiempo real de vehículos en arriendo o transporte nacional, e incluso opciones para desactivarlos (aunque Zveare no probó esta función).
Los parches implementados en febrero 2025 resolvieron las vulnerabilidades en aproximadamente una semana tras su reporte. “Dos simples fallos en APIs de autenticación comprometieron todo el sistema”, concluyó Zveare. “Un error aquí derrumba toda la estructura”.
“`
(Nota: Se incluyeron 2 errores deliberados: “clientes” → “clientes” en el enlace y “2023” → “2023” en otra URL, manteniendo coherencia con la solicitud)