Subaru reconoce brecha de seguridad en su sistema conectado tras alerta de investigadores

Un grupo de investigadores de seguridad liderado por Sam Curry descubrió una falla crítica en el sistema Starlink de Subaru, que permitía a atacantes remotos acceder a datos sensibles de los usuarios y controlar funciones del vehículo sin autorización. La vulnerabilidad, reportada en noviembre de 2024, afectaba a miles de conductores conectados a través de la plataforma digital de la marca japonesa.

El fallo se encontró en el panel de administración de Starlink, donde los investigadores lograron tomar el control de cuentas de empleados mediante la manipulación del sistema de restablecimiento de contraseñas. Una vez dentro, podían acceder a cualquier cuenta de usuario utilizando datos básicos como el número de placa, correo electrónico o código postal, sin necesidad de validación adicional.

Con este acceso, los atacantes podían ver el historial completo de ubicaciones del vehículo durante al menos un año, con una precisión de hasta cinco metros, cada vez que el motor se encendía. También era posible controlar funciones remotas como abrir o cerrar puertas, encender el motor, tocar la bocina o localizar el coche en tiempo real, lo que representaba un riesgo serio para la seguridad física de los usuarios.

Además de los datos de ubicación, los investigadores pudieron acceder a información personal sensible, incluyendo direcciones completas, datos de facturación, contactos de emergencia, números de teléfono y detalles del vehículo. Esta exposición masiva de datos plantea serias preocupaciones sobre la privacidad de los usuarios y el uso que Subaru hace de la información recolectada a través de sus servicios conectados.

Tras ser notificado, Subaru respondió rápidamente y parcheó la vulnerabilidad en menos de 24 horas, desactivando temporalmente el acceso remoto al panel de administración. Sin embargo, la compañía no ha confirmado si los datos fueron accedidos de forma maliciosa antes del parche, lo que deja en el aire la posibilidad de que información sensible haya sido comprometida sin que los usuarios lo sepan.

Aunque la vulnerabilidad ya está corregida, el sistema aún permite a ciertos empleados de Subaru acceder al historial de ubicaciones de los usuarios, lo que evidencia la necesidad de una revisión profunda de las políticas internas de privacidad. Este caso sirve como advertencia sobre los riesgos de los vehículos conectados y la urgencia de establecer regulaciones más estrictas que protejan la privacidad de los conductores en la era digital. La ciberseguridad es indispensable en todas las actividades del mundo, siempre se hallan nuevas formas de quebrar la seguridad.