El pasado 7 de marzo, dos ingenieros estadounidenses, Tommy Mysk y Talal Haj Bakry, subieron un vídeo a YouTube en el que enseñan cómo se hicieron con el control de un Tesla sin forzar de manera alguna el coche; sólo usando una red Wifi y una web de inicio de sesión falsa.
Sólo recurriendo a estos dos factores, los dos ingenieros se hicieron con los datos de inicio de sesión del propietario del vehículo, lo que les permitió crear una clave para su teléfono móvil, un dispositivo que los propietarios de los vehículos norteamericanos pueden usar para acceder a su coche. Y un método que no ha sido la primera vez que se usa para hackear un Tesla.
Pero, ¿cómo lo hicieron? Y, sobre todo, ¿es un proceso que se puede realizar con facilidad?
El proceso para tomar el control de un Tesla
Para entender la forma en la que actuaron estos dos ingenieros, trabajadores en la empresa de ciberseguridad Mysk Inc; antes que nada, hay que conocer dos cosas.
La primera es que la mayoría de las estaciones de supercargadores de Tesla en EE.UU. y en otros países cuentan con una red Wifi, generalmente denominada ‘Tesla Guest’ a la que los propietarios de Tesla pueden conectarse para navegar mientras esperan que se cargue su automóvil.
La segunda es que, para conectarse a esta red Wifi, los propietarios deben acceder primero a una web en la que deben facilitar su nombre de usuario y contraseña para lograr conexión.
El modus operandi de los ingenieros pasó, de entrada; por crear, mediante un dispositivo portátil, su propia red Wifi, que también nombraron como ‘Tesla Guest’. Además, asimismo crearon una web falsa de inicio de sesión, por el usuario que se conectara a su red Wifi buscando Internet gratis, tendría que facilitar su nombre de usuario y contraseña.
Con estos datos, que los hackers almacenaron, pudieron iniciar sesión (haciéndose pasar por el propietario de un Tesla) en la aplicación del fabricante de automóviles. Acto seguido, y mediante esa misma aplicación, crearon una clave para su propio teléfono, que ya podría ser utilizado como llave digital para abrir y acceder al vehículo… u, ojo, permitir que, desde ese mismo teléfono, se mantuviera rastreada la ubicación del vehículo; por si querían robarlo más tarde.
Tesla señala que «no es un problema»
La revista francesa Auto Journal cita a Tommy Mysk, quien señala que el propietario del vehículo no sospechará “nunca» de este intento de robo, ya que Tesla ni siquiera le notifica que se ha creado una nueva clave para otro teléfono.
Este ingeniero explica que, “esto supone que con un correo electrónico y una contraseña filtrados o robados, un propietario puede perder su Tesla. ¡Esto es una locura! Los ataques de phishing y de ingeniería social son muy comunes hoy […], y las empresas responsables deben tener en cuenta estos riesgos”.
Pero lo más grave es que el propio Mysk se puso en contacto con Tesla para informarles de este fallo en la seguidad. Y la empresa norteamericana le respondió que ya había investigado y que no consideraba esta circunstancia como “un problema”. Y eso pese a que Mysk probó este método para robar un Tesla con un vehículo de su propiedad y con varios teléfonos, algunos de ellos jamás había sido emparejado con su vehículo.
Spring
Enfrentamos al Dacia Spring, tercer eléctrico más vendido de Europa, con el recién llegado Leapmotor T03. ¿Su cualidad común? Ambos se sitúan por debajo...
C3 Aircross
En este vídeo te mostramos todo sobre la nueva generación del Citroën C3 Aircross, que ofrece calidades correctas y buena habitabilidad en una dimensión...
NX
En este vídeo ponemos a prueba la versión híbrida enchufable del Lexus NX, con acabado Luxury. Un todocamino que combina la fiabilidad y frugalidad...
