fbpx

Un hacker ha identificado una nueva vulnerabilidad de seguridad en los vehículos Tesla y, como demostración, ha logrado sustraer su propio automóvil utilizando una herramienta de fácil acceso para cualquiera.

tesla hackeo

Cuando se menciona hackear un Tesla, es común imaginar al personaje interpretado por Rami Malek en ‘Mr. Robot’, tecleando en un portátil. Sin embargo, esta vez no es así. Simplemente se necesita un Flipper Zero y un poco de ingenio para abrir un Tesla en cuestión de minutos y tomar el control del vehículo.

El Flipper es considerado la navaja suiza de los hackers, un dispositivo disponible para su compra en línea por aproximadamente 169 dólares.

Los expertos en seguridad Tommy Mysk y Talal Haj Bakry, de Mysk Inc., identificaron un defecto de diseño en la seguridad de los vehículos Tesla que solo requiere ingenio y un Flipper Zero para ser explotado.

El método de ataque es tan simple como obtener la información de acceso del propietario de un Tesla, abrir la aplicación de Tesla y conducir el automóvil fuera del lugar. En este escenario, la víctima posiblemente ni siquiera se percataría de que su vehículo ha sido robado. Para demostrar la validez de su descubrimiento, el hacker robó su propio automóvil.

Este no es un caso de “hackeo” en el sentido tradicional de ingresar y manipular el software del vehículo, sino más bien un ataque de ingeniería social donde se engaña al usuario para que revele su información. Se trata de una técnica conocida como phishing.

Los investigadores utilizaron un Flipper para crear una red WiFi llamada “Tesla Guest”, similar al nombre que Tesla emplea para sus redes de invitados en sus centros de servicio. Luego, uno de los investigadores creó un sitio web que simulaba ser la página de inicio de sesión de Tesla.

Los hackers desplegaron esta red cerca de una estación de carga, donde es probable que un conductor aburrido busque entretenimiento en su teléfono móvil. La víctima se conecta a la red WiFi ‘Tesla Guest’ creyendo que es legítima y proporciona su nombre de usuario y contraseña en el falso sitio web de Tesla.

A continuación, utilizan las credenciales que han obtenido para iniciar sesión en la aplicación auténtica aplicación Tesla, que activa un código de autenticación en dos pasos. La víctima introduce sus códigos de verificación en el sitio web falso, dando así todas sus contraseñas a los ladrones. Estos pueden entonces entrar en la cuenta de ese automovilista.

Es grosso modo el mismo método que emplean los ladrones con el phishing para vaciar las cuentas bancarias que quien haya caído en sus trampas. En este caso, los ladrones configurar su teléfono para que actúe como llave del coche. Y voilá, tienen una auténtica llave para abrir y marcharse con el Tesla de esa persona.

Si es la víctima, engañada por el aspecto de las webs, la que da sus contraseñas ¿dónde está el fallo de diseño de Tesla? En el hecho de que la víctima no sepa que hay una nueva llave configurada en un nuevo móvil. No recibe notificación ni le aparecen las otras posibles llaves configuradas en móviles.