Subaru, marca conocida por su innovación tecnológica, se enfrentó recientemente un drama en torno a su sistema Starlink, que conecta los vehículos a una aplicación móvil para controlar funcionalidades como el bloqueo, la geolocalización y el rastreo de la ubicación del vehículo. Sin embargo, una vulnerabilidad crítica en este sistema permitió a los piratas informáticos rastrear la ubicación de millones de vehículos, desbloquearlos e incluso arrancarlos de manera remota.
La falla en el sistema fue descubierta por los investigadores en ciberseguridad Sam Curry y Shubham Shah, quienes lo notificaron inmediatamente al fabricante japonés antes de que otros piratas informáticos malintencionados explotaran el fallo. El problema radicaba en el portal de administración de Starlink, diseñado para gestionar cuentas y configuraciones de los vehículos.
Más información
Curry y Shah encontraron que las cuentas de empleados de Subaru podían ser comprometidas fácilmente y así, ingresar en el sistema. Utilizando un código de restablecimiento de contraseña inseguro, lograron acceder al panel de administración, el cual ofrecía un control completo sobre las funciones del sistema Starlink. Incluso podían rastrear el historial de ubicaciones de los vehículos durante el último año con una precisión de cinco metros.

Aplicación MySubaru
Los investigadores identificaron un enlace al portal de administración a través de la aplicación MySubaru, la app que guarda toda la documentación digital del coche y que notifica a los propietarios de un Subaru de los mantenimientos y revisiones pendientes, de las citas del taller y mucho más avisos.
Una vez dentro, aprovecharon un diseño defectuoso en el restablecimiento de contraseñas y omitieron las preguntas de seguridad, accediendo al sistema sin necesidad de confirmación del titular de la cuenta. Con un número VIN (identificador único del vehículo), que puede obtenerse fácilmente desde una matrícula visible, podían acceder a cualquier Subaru en Estados Unidos, Canadá o Japón.

Una respuesta rápida
Subaru actuó rápidamente y corrigió la vulnerabilidad en menos de 24 horas tras el informe de los investigadores en noviembre. Sin embargo, este incidente subraya los riesgos inherentes en la conectividad de vehículos. Según Curry, la vulnerabilidad pone de manifiesto lo fácil que resulta para los ciberpiratas con conocimientos técnicos explotar debilidades en sistemas complejos.
Este caso no solo afecta a Subaru, sino que plantea preguntas críticas sobre la seguridad de los sistemas de vehículos conectados en general. Mientras que Subaru aseguró no haber encontrado evidencia de accesos no autorizados previos, la confianza en la seguridad de los vehículos inteligentes queda en entredicho. La pregunta la han dejado en el aire diversos expertos en ciberseguridad: ¿hasta qué punto se está seguro al conectar los coches con el mundo digital?

Sigue toda la información de EL MOTOR desde Facebook, X o Instagram