Falla en Subaru Starlink podría desbloquear autos y rastrear a conductores

Los autos conectados almacenan tantos datos que bien podrían ser dispositivos de vigilancia móviles. Ahora, investigadores están revelando una nueva falla de seguridad que les permitió acceder a datos confidenciales a través de la tecnología Starlink de Subaru. Si bien la marca japonesa solucionó el problema rapidamente, el incidente plantea preguntas incómodas sobre cuán privados son realmente los datos en estos momentos.

Sam Curry, un investigador de seguridad, y su equipo descubrieron la falla en noviembre de 2024 mientras probaba el Subaru Impreza 2023 de su madre, que le había comprado el año anterior. La vulnerabilidad les permitió acceder al historial de ubicación completo del vehículo, no solo por un momento, sino por todo el año.

En declaraciones a Wired, Curry dijo que la información era tan detallada que podía señalar con precisión sus visitas al médico, las casas de sus amigos e incluso el lugar exacto de estacionamiento que usaba cada vez que iba a la iglesia.

“Puedes recuperar al menos un año de historial de ubicaciones del automóvil, donde se le hace un ping con precisión, a veces varias veces al día”, dijo Curry a la publicación. “Ya sea que alguien esté engañando a su esposa, se esté haciendo un aborto o sea parte de algún grupo político, hay un millón de escenarios en los que se podría usar esto como arma contra alguien”.

Curry y su colega investigador Shubham Shah dijeron que descubrieron debilidades en un sitio web de Subaru diseñado para el personal de la empresa, lo que les permitió apoderarse de la cuenta de un empleado. Esto les dio la capacidad de tomar el control de las funciones Starlink de los vehículos y acceder a una gran cantidad de detalles personales, incluido el nombre del cliente, contactos de emergencia, dirección residencial e incluso el PIN del vehículo. Pero no se detuvieron ahí: también podían desbloquear el vehiculo de forma remota, arrancarlo y consultar su historial de llamadas. 

Los hackers no necesitaban una supercomputadora ni un dispositivo avanzado para hacer esto. Todo lo que requerian era el apellido de la víctima junto con la matrícula del auto, el código postal del propietario, el número de teléfono o la dirección de correo electrónico. Los piratas informáticos supuestamente pusieron esa información en un sitio web diseñado para que los empleados de Subaru ayuden a los usuarios de Starlink. Obtuvieron acceso a ese sitio a través de una serie de acciones basadas en agujeros de seguridad teorizados y luego confirmados en el propio sitio.

Para crédito de Subaru, esta vulnerabilidad ya no existe. Además, el fabricante de automóviles solucionó el problema en menos de 24 horas después de conocer la situación. Los hackers disfrazados dicen que alertaron a Subaru sobre el problema a las 11:54 p.m. el 20 de noviembre. A las 16:00 horas. El día 21 se superó la vulnerabilidad y el hack ya no funcionó.

Al mismo tiempo, todo esto plantea una cuestión más amplia, y es que los datos privados ya no parecen ser tanto. Como señala Sam Curry en su sitio web, incluso sin incluir delincuentes, muchas personas aún tienen acceso a estos datos; es decir, los empleados.

“La industria automotriz es única en el sentido de que un empleado de Texas puede consultar la información de facturación de un vehículo en California sin que suene ninguna alarma”, escribió Curry. “Es parte de su trabajo diario normal. Todos los empleados tienen acceso a una gran cantidad de información personal y todo depende de la confianza”.

Robert Herrell, director ejecutivo de la Federación de Consumidores de California,  hizo eco de las mismas preocupaciones a Wired: “Parece que hay un montón de empleados en Subaru que tienen una cantidad alarmante de información detallada. “La gente está siendo rastreada de maneras que ni siquiera ellos mismos saben que está sucediendo”.

Y no se trata solo de Subaru, ya que este tipo de vulnerabilidad y acceso a datos es  un problema que afecta a toda la industria. Por ahora no hay una solución clara más allá de renunciar por completo a la recopilación de datos al comprar un auto conectado. Por supuesto, perderá algunas funciones al hacerlo, pero podría valer la pena para mantener las miradas indiscretas fuera de cualquier alcance.

No olvide visitarnos en

FACEBOOK

INSTAGRAM

TWITTER

Inicio 100