En el reciente evento Pwn2Own Tokyo, Tesla se encontró en el centro de atención una vez más, pero no por sus innovaciones en la industria automotriz. Esta vez, el gigante de los vehículos eléctricos se convirtió en blanco de hackers, quienes lograron explotar 24 vulnerabilidades de día cero (zero-days) en sus sistemas. Este acontecimiento ha generado un gran interés en el mundo de la ciberseguridad y plantea preguntas críticas sobre la seguridad de los vehículos conectados.
Pwn2Own es una competencia de hacking muy respetada en la comunidad de seguridad informática. Los participantes tienen el desafío de encontrar y explotar vulnerabilidades en software y hardware populares. Al hacerlo, no solo ganan premios, sino que también ayudan a mejorar la seguridad de estas tecnologías al revelar fallos que de otro modo podrían ser explotados por actores maliciosos.
Conoce más sobre: Grupo de Hackers Lazarus: Amenazas Cibernéticas Norcoreanas
Investigadores especializados en ciberseguridad lograron hackear el sistema de información y entretenimiento de un vehículo Tesla y presentaron un total de 24 vulnerabilidades inéditas durante el segundo día de la competencia de hacking automotriz Pwn2Own 2024. El equipo Synacktiv obtuvo un premio de 100,000 dólares tras emplear con éxito dos vulnerabilidades inéditas para salirse de la zona de pruebas designada y acceder al sistema de información y entretenimiento de Tesla.
Asimismo, utilizaron un exploit basado en tres vulnerabilidades inéditas para hackear el sistema operativo Automotive Grade Linux, obteniendo 35,000 dólares adicionales. Durante el primer día de la competencia Pwn2Own Automotive 2024, Synacktiv ya había ganado otros 295,000 dólares por hackear un módem Tesla y las estaciones de carga inteligentes para vehículos eléctricos de las marcas Ubiquiti Connect EV y JuiceBox 40, utilizando tres cadenas de exploits y explotando un total de siete vulnerabilidades inéditas.
Podría interesarte leer: ¿Qué es un Ataque de Exploit?
En el transcurso del segundo día, los participantes demostraron 24 vulnerabilidades únicas y obtuvieron premios por un total de 382,500 dólares, sumando 48 vulnerabilidades inéditas y 1,101,500 dólares en premios desde el inicio de la competencia. Una vez concluida la competencia Pwn2Own, los fabricantes involucrados tienen un plazo de 90 días para lanzar parches de seguridad antes de que se hagan públicas estas vulnerabilidades inéditas.
El evento Pwn2Own Automotive 2024 se celebra en Tokio, Japón, en el marco de la conferencia automotriz Automotive World, del 24 al 26 de enero, y se enfoca en tecnologías relacionadas con el sector automotriz.
Durante el concurso, los hackers se enfocan en sistemas como cargadores para vehículos eléctricos, sistemas de información y entretenimiento y sistemas operativos de vehículos, incluyendo Automotive Grade Linux, Android Automotive OS y BlackBerry QNX.
También se dirigen a los modelos Tesla Model 3/Y (basados en Ryzen) y Tesla Model S/X (también basados en Ryzen), incluyendo los sistemas de información y entretenimiento en el vehículo (IVI) y de módem, que ya fueron comprometidos durante los primeros dos días del torneo.
El premio máximo que se puede obtener es de 200,000 dólares y un vehículo Tesla por descubrir vulnerabilidades inéditas en el VCSEC, gateway o en el sistema de piloto automático.
Durante la competencia Pwn2Own Vancouver 2023, llevada a cabo en marzo, los investigadores de seguridad también lograron ganar 1,035,000 dólares y un Tesla Model 3 tras demostrar un total de 27 vulnerabilidades inéditas y múltiples colisiones de errores.
Conoce más sobre: Protección contra Amenazas de Día Cero con Azure Sentinel
Los vehículos modernos incluyen una gran cantidad de software, lo que los hace susceptibles a ataques cibernéticos. Esto incluye desde los sistemas de entretenimiento hasta los controles de conducción autónoma. Una vulnerabilidad en cualquiera de estos sistemas puede poner en riesgo no solo la privacidad de los datos del usuario, sino también su seguridad física.
El caso de Tesla en Pwn2Own Tokyo ofrece varias lecciones importantes. En primer lugar, destaca la necesidad de una continua inversión en seguridad cibernética por parte de los fabricantes de automóviles. En segundo lugar, muestra la importancia de la colaboración entre la industria automotriz y la comunidad de seguridad informática. Por último, subraya la necesidad de desarrollar normativas y estándares de seguridad más estrictos para los vehículos conectados.
También te podrá interesar: ¿Tu software está al día?: Importancia de los Parches
El éxito de los hackers en Pwn2Own Tokyo al explotar 24 vulnerabilidades en los sistemas de Tesla sirve como un recordatorio claro de los desafíos de seguridad que enfrentan los vehículos modernos. A medida que avanzamos hacia un futuro con más coches conectados y autónomos, es esencial que la industria automotriz tome en serio la ciberseguridad y trabaje de manera proactiva para proteger a los usuarios de amenazas emergentes. La colaboración entre fabricantes de automóviles y expertos en seguridad informática será crucial para garantizar un transporte seguro y confiable en la era digital.