A solo unos días del Gran Premio de México 2025, un grupo de investigadores de ciberseguridad descubrió una vulnerabilidad crítica en un portal oficial de la Federación Internacional del Automóvil (FIA), que permitió acceder sin restricciones a información confidencial de varios pilotos, incluyendo documentos personales de Max Verstappen.
El fallo fue descubierto por Gal Nagli, Sam Curry e Ian Carroll, quienes publicaron los detalles técnicos de cómo lograron ingresar al sistema driverscategorisation.fia.com, una plataforma clave donde los pilotos solicitan o actualizan su licencia profesional. Lo increíble es que el portal no verificaba los permisos de quien enviaba información, por lo que bastaba con incluir una instrucción como "Make me an admin" para obtener acceso total como administrador.
“El servidor confiaba en cualquier cosa que le mandáramos, sin revisar si teníamos derecho a cambiar esos campos”, explicó Nagli en X (antes Twitter).
Con ese nivel de acceso, los expertos pudieron entrar al panel de administración de la FIA y visualizar desde documentos de identidad y licencias, hasta correos internos entre personal y comités de certificación. Aunque el acceso se hizo de forma ética y fue reportado correctamente, el incidente plantea serias dudas sobre la ciberseguridad en el corazón del deporte más tecnológico del mundo.
Este escándalo llega en un momento especialmente delicado para la F1, con la atención mediática centrada en la próxima carrera en México, y con Verstappen como uno de los pilotos más vigilados y vulnerados en esta filtración.
¿Cómo se descubrió el error en el sistema de la FIA?
El portal driverscategorisation.fia.com, donde pilotos y aspirantes solicitan su clasificación oficial (Bronce, Plata, Oro o Platino), permite a cualquier usuario crear una cuenta, subir su historial deportivo y esperar la evaluación del comité de la FIA.
Durante una revisión de rutina con una cuenta de usuario normal, los investigadores en ciberseguridad notaron algo extraño en la respuesta del servidor: aparecía un campo llamado "roles", que detallaba los diferentes niveles de acceso disponibles.
Curiosos, decidieron modificar ese campo en la solicitud que enviaba el navegador. Al volver a iniciar sesión con ese pequeño cambio, la interfaz del sitio cambió por completo: ya no se mostraba como un perfil de piloto, sino como el panel administrativo completo.
“Nos convertimos en administradores con una sola solicitud”, escribió Ian Carroll en su blog técnico.
Desde ahí, los investigadores accedieron a todas las herramientas internas del sistema: solicitudes de pilotos, documentos personales, comentarios del personal y hasta funciones para gestionar usuarios.
¿Qué tipo de información estaba expuesta? Documentos de Verstappen y más
Para comprobar el alcance real de la vulnerabilidad, el equipo buscó el perfil de Max Verstappen, actual tricampeón del mundo, y efectivamente pudo visualizar documentos como su pasaporte, licencia de piloto, currículum profesional y correos intercambiados con la FIA.
Eso sí, fueron responsables: dejaron claro que no descargaron, compartieron ni almacenaron ninguna información confidencial. Solo tomaron capturas de pantalla como evidencia técnica para reportar el fallo.
“Validamos que la vulnerabilidad existía, tomamos capturas de prueba y dejamos de probar inmediatamente. Ningún dato de piloto fue comprometido por nosotros”, explicó Gal Nagli en su cuenta de X.
Pero el riesgo iba mucho más allá de los archivos personales. Los investigadores también encontraron mensajes internos sobre el rendimiento de pilotos, evaluaciones privadas y decisiones sensibles de los comités. Todo eso podría haber sido manipulado fácilmente por un atacante con malas intenciones.
Podría interesarte leer: El Costo Oculto de Las Brechas en La Cadena de Suministro
¿Qué hizo la FIA al respecto?
Tan pronto como identificaron el problema, los investigadores lo reportaron directamente a la FIA el 3 de junio de 2025, utilizando tanto correo electrónico como LinkedIn para asegurarse de que el mensaje llegara. La respuesta fue rápida: ese mismo día la FIA desconectó el sitio web para investigar a fondo.
Una semana más tarde, el 10 de junio, la organización confirmó que había aplicado un parche de seguridad integral, cerrando definitivamente la vulnerabilidad.
Los expertos aplaudieron la actitud del organismo:
“Trabajamos con la FIA para solucionar el problema de inmediato. Agradecemos al equipo por tomarlo en serio y reaccionar con rapidez”, escribió Nagli en X.
Finalmente, la vulnerabilidad fue revelada públicamente el 22 de octubre de 2025, justo cuatro días antes del Gran Premio de México, uno de los eventos más importantes y mediáticos del calendario de la Fórmula 1.
¿Por qué esto es tan grave para la F1?
Aunque el problema ya fue resuelto, el incidente dejó una advertencia clara: incluso las organizaciones más grandes y tecnológicas del mundo están expuestas a errores básicos de seguridad.
El hecho de que bastara una simple modificación en una solicitud para obtener acceso total al backend de un sistema oficial de la FIA es una falla crítica que podría haber sido explotada con consecuencias mucho peores.
De haber caído en manos equivocadas, esta vulnerabilidad habría permitido robar identidades, filtrar contratos, alterar registros de pilotos o incluso manipular evaluaciones internas que afectan las decisiones deportivas.
Y en un deporte como la Fórmula 1, donde cada dato, milisegundo y estrategia cuentan, este tipo de filtración no solo afecta la privacidad de los pilotos, sino que podría influir directamente en el rendimiento y la equidad de la competencia.
Un recordatorio sobre la seguridad digital en la F1
Según los expertos, este fallo es un ejemplo de un error conocido como “mass assignment”, una vulnerabilidad bastante común en APIs mal configuradas. En pocas palabras, el sistema no filtra qué datos puede o no puede cambiar un usuario, y termina aceptando cualquier valor que se le mande… incluso si eso significa convertir a alguien en administrador.
Este tipo de error puede parecer técnico, pero su impacto es muy real: permite que cualquier persona con conocimientos básicos en desarrollo web envíe comandos al servidor y obtenga accesos que nunca debería tener. Desde ahí, los riesgos van desde la manipulación de cuentas hasta el robo de documentos confidenciales o incluso sabotaje interno.
Este incidente fue contenido a tiempo, pero deja una lección importante: la seguridad digital no puede seguir siendo un tema secundario en el automovilismo moderno.