Los investigadores han logrado demostrar la vulnerabilidad de los Tesla al hackear y robar uno de estos vehículos utilizando una red WiFi de estación de carga falsa. Este sorprendente hecho pone de manifiesto la importancia de proteger los vehículos conectados contra ciberataques. Aunque Tesla ha implementado medidas de seguridad, este incidente destaca la necesidad de seguir desarrollando tecnologías que refuercen la protección de estos automóviles. Los propietarios de vehículos eléctricos deben estar al tanto de estas amenazas y tomar precauciones adicionales para proteger sus automóviles contra posibles intrusiones maliciosas.
En un mundo cada vez más conectado, la seguridad informática se ha convertido en una preocupación primordial para los usuarios de tecnología avanzada, incluidos los propietarios de vehículos Tesla. Recientemente, dos investigadores de seguridad, Tommy Mysk y Talal Haj Bakry de Mysk Inc., han demostrado una nueva vulnerabilidad que podría permitir a los hackers robar vehículos Tesla estacionados en estaciones de carga, utilizando ingeniería social y redes WiFi falsas.
Los investigadores descubrieron que muchas estaciones de carga de Tesla ofrecen una red WiFi denominada «Tesla Guest», utilizada por los propietarios durante la carga de sus vehículos. Mediante el uso de un dispositivo de hacking llamado Flipper Zero, valorado en $169, Mysk y Bakry crearon su propia red WiFi con el mismo nombre. Al intentar conectarse, las víctimas son redirigidas a una página de inicio de sesión falsa de Tesla, donde los hackers capturan su nombre de usuario, contraseña y código de autenticación de dos factores.
La simplicidad del equipo necesario para establecer esta red WiFi falsa, que puede ser cualquier dispositivo inalámbrico como un Raspberry Pi, un portátil o un teléfono móvil, subraya la facilidad con la que se puede ejecutar este ataque.
Una vez en posesión de las credenciales de la cuenta Tesla del propietario, los atacantes pueden acceder rápidamente a la aplicación oficial de Tesla antes de que expire el código de autenticación de dos factores. Los Tesla permiten a los propietarios usar sus teléfonos como llaves digitales para desbloquear sus coches sin necesidad de una tarjeta física. Configurando una nueva llave telefónica mientras se encuentran cerca del vehículo estacionado, los hackers pueden tomar control del mismo.
Los investigadores revelaron que el propietario del Tesla no recibe notificación alguna al establecerse una nueva llave telefónica. Además, a pesar de que el manual del propietario del Tesla Model 3 indica que es necesario una tarjeta física para configurar una nueva llave, los hallazgos de Mysk sugieren lo contrario.
Al informar a Tesla sobre esta vulnerabilidad, Mysk recibió como respuesta que la compañía había investigado el asunto y decidido que no representaba un problema. Hasta el momento, Tesla no ha emitido comentarios públicos adicionales.
Este incidente resalta la importancia de una seguridad informática robusta en el ecosistema de los vehículos conectados. Tommy Mysk subraya la gravedad de la situación al señalar que ataques de phishing y de ingeniería social son comunes hoy día, instando a las empresas responsables a considerar estos riesgos en sus modelos de amenazas.
Para mitigar este riesgo, los investigadores sugieren que Tesla haga obligatoria la autenticación mediante tarjeta física y notifique a los propietarios sobre la creación de nuevas llaves telefónicas. Este no es el primer caso en el que investigadores encuentran métodos relativamente simples para vulnerar la seguridad de los vehículos Tesla, evidenciando la necesidad continua de fortalecer las medidas de seguridad.
