Un equipo de investigadores de ciberseguridad ha identificado graves vulnerabilidades en las unidades de infoentretenimiento de los automóviles Skoda, propiedad del grupo Volkswagen, que podrían ser explotadas por piratas informáticos para rastrear vehículos en tiempo real y manipular ciertos controles de manera remota.

La firma PCAutomotive, especializada en seguridad automotriz, presentó en la conferencia Black Hat Europe 12 nuevas vulnerabilidades en el modelo Skoda Superb III . Estas fallas se suman a otras 9 vulnerabilidades descubiertas en el mismo modelo el año pasado. Según el informe, las fallas afectan principalmente al sistema de infoentretenimiento MIB3 , una unidad ampliamente utilizada en los vehículos de Volkswagen y Skoda.

Danila Parnishchev, responsable de evaluación de seguridad en PCAutomotive, explicó que las vulnerabilidades permiten a un atacante conectarse al sistema del vehículo a través de Bluetooth sin necesidad de autenticación, siempre que esté a menos de 10 metros del automóvil. Una vez conectados, los atacantes podrían:

• Obtener coordenadas GPS en tiempo real y datos de velocidad.
• Acceda al micrófono del automóvil para grabar conversaciones.
• Tomar capturas de pantalla de la pantalla de infoentretenimiento.
• Reproduzca sonidos arbitrarios en los altavoces del vehículo.
• Extraer bases de datos de contactos telefónicos almacenados en texto sin cifrar si el propietario sincronizó su teléfono con el automóvil.

Implicaciones de las fallas.

Estas vulnerabilidades también podrían usarse para ejecutar código malicioso persistente , lo que significa que el malware cargado seguirá activo incluso después de reiniciar el sistema. Aunque los investigadores no encontraron evidencia de que las fallas puedan comprometer controles críticos como el volante, los frenos o el acelerador, el alcance de las vulnerabilidades plantea serias preocupaciones sobre la privacidad y seguridad de los propietarios de vehículos.

Según PCAutomotive, calculando en datos públicos de ventas, más de 1,4 millones de vehículos podrían estar afectados. Además, el mercado de componentes de posventa podría aumentar significativamente esta cifra, ya que muchas unidades de infoentretenimiento MIB3 usadas están disponibles para la venta en plataformas como eBay, a menudo sin eliminar datos personales almacenados por propietarios anteriores.

Respuesta de Volkswagen y Skoda.

Volkswagen, propietaria de Skoda, fue informada de las fallas a través de su programa de divulgación de ciberseguridad y ya ha implementado correcciones. Un portavoz de Skoda, Tom Drechsler, afirmó en una declaración a TechCrunch:

«Las vulnerabilidades notificadas en el sistema de infoentretenimiento se han abordado mediante una gestión de mejora continua a lo largo del ciclo de vida de nuestros productos. En ningún momento ha habido peligro alguno para la seguridad de nuestros clientes o vehículos».

Repercusiones y recomendaciones.

Aunque Volkswagen asegura haber solucionado las fallas, el incidente pone de aliviar los riesgos asociados con la digitalización y conectividad de los vehículos modernos. Los expertos en ciberseguridad recomiendan a los propietarios de vehículos:

1. Actualizar el software de sus unidades de info entretenimiento siempre que sea posible.
2. Desactivar Bluetooth cuando no esté en uso para reducir riesgos de acceso no autorizado.
3. Eliminar datos personales de las unidades antes de vender o transferir el vehículo.

Este caso subraya la importancia de priorizar la seguridad cibernética en la industria automotriz, especialmente en un momento en que los vehículos conectados se están convirtiendo en la norma.