David Colombo, un especialista en seguridad informática de tan solo 19 años, logró hacerse con el control de 25 coches eléctricos Tesla de 13 países distintos, gracias a la vulnerabilidad de algunas aplicaciones de terceros que pueden instalarse utilizando una API no oficial del fabricante. Colombo anunció lo que había logrado a través de Twitter con la intención de que Tesla fuese consciente de ello y resolviese el problema.
El fallo de software permite acceder a las cuentas de los propietarios de manera que, si bien no es posible conducir de manera remota los coches, sí se pueden arrancar, desbloquear sus puertas y ventanas y desactivar sus sistemas de seguridad. Además Colombo podía saber la ubicación exacta de cada coche, comprobar si el conductor está presente en el automóvil y encender los sistemas de sonido y las luces.
El joven alemán de 19 años se autodenomina a sí mismo como un especialista en tecnología de la información y no quiso revelar los detalles exactos de la vulnerabilidad que había encontrado en el software para no dar pistas a otros hackers. Sin embargo, a través del hilo de Twitter abierto precisó que el problema no está dentro del software de Tesla, sino en las aplicaciones de terceros, por lo que solo un número pequeño de propietarios pueden verse afectados por ella. Para acceder a los coches eléctricos, Colombo ha obtenido acceso a sus cuentas, lo que le permite iniciar sesión en la aplicación de Tesla y obtener cierto control sobre los vehículos.
So, I now have full remote control of over 20 Tesla's in 10 countries and there seems to be no way to find the owners and report it to them…
— David Colombo (@david_colombo_) January 10, 2022
En una entrevista con Boomberg, Colombo afirma que en ningún momento pudo acceder a controlar los coches eléctricos de forma remota, pero sí a realizar algunas acciones que podrían ocasionar problemas de seguridad durante la conducción. También le fue posible abrir los coches y desactivar las alarmas y los sistemas de vigilancia por lo que, teóricamente, sería posible robarlos.
Tesla cuenta con un protocolo de denuncia de vulnerabilidades de seguridad en sus coches eléctricos de manera que los propietarios pueden registrar sus vehículos para realizar pruebas, previa aprobación de Tesla. Cada reporte, verificado por sus especialistas, es recompensado económicamente con una cantidad que puede alcanzar hasta los 15.000 dólares.
Colombo ha estado en contacto con el equipo de seguridad de Tesla, que asegura que ya está estudiando el problema y que contactarán con él con cualquier novedad. La compañía ha declinado realizar comentarios al respecto a la prensa.
Las aplicaciones de terceros de Tesla
Precisamente muchos propietarios que usan aplicaciones de terceros han descubierto que estas no funcionan desde hace unos días ya que Tesla parece haber revocado muchos tokens de inicio de sesión. El fabricante no ha cuenta con una tienda para descargar aplicaciones, pero sí existe una API no oficial que ha permitido la existencia de aplicaciones de terceros. Estas permiten añadir funciones adicionales, no nativas, como los registros de los viajes y de las sesiones de carga o generar informes sobre el estado de la batería.
Para que estas aplicaciones puedan acceder a los datos del propietario es necesario que cuenten con la información del inicio de sesión en la cuenta de Tesla o con un token de autenticación asociado a ella, que son los que han dejado de funcionar.
Al parecer, esta circunstancia es consecuencia de la acción de Colombo y de las medidas que Tesla ha tomado para cerrar la vulnerabilidad que permite el acceso a su aplicación de manera remota mediante estos token. En realidad, para los propietarios, la solución es tan simple como entrar en las aplicaciones y volver a introducir la información del inicio de sesión.
