{"id":51440,"date":"2024-03-24T00:49:28","date_gmt":"2024-03-24T05:49:28","guid":{"rendered":"https:\/\/einsteresante.com\/?p=51440"},"modified":"2024-03-24T00:49:29","modified_gmt":"2024-03-24T05:49:29","slug":"hackers-de-sombrero-blanco-logran-secuestrar-un-tesla-usando-hardware-barato-y-legal","status":"publish","type":"post","link":"https:\/\/einsteresante.com\/index.php\/2024\/03\/24\/hackers-de-sombrero-blanco-logran-secuestrar-un-tesla-usando-hardware-barato-y-legal\/","title":{"rendered":"Hackers de sombrero blanco logran secuestrar un Tesla usando hardware barato y legal"},"content":{"rendered":"\n

Las llaves digitales se han convertido en una forma com\u00fan y conveniente de desbloquear veh\u00edculos el\u00e9ctricos (EV), pero los investigadores de seguridad han demostrado c\u00f3mo los delincuentes pueden aprovechar esto. Los investigadores de ciberseguridad Tommy Mysk y Talal Haj Bakry, que trabajan para la empresa de tecnolog\u00eda Mysk, descubrieron un exploit que permite a los ciberdelincuentes acceder a cuentas de Tesla para generar una “llave digital” antes de desbloquear el autom\u00f3vil de la v\u00edctima y alejarse. Detallaron sus hallazgos en una presentaci\u00f3n de YouTube <\/a>el 7 de marzo.<\/p>\n\n\n\n

Lograron el truco (desbloquear la puerta de un Tesla Model 3) a pesar de que la cuenta estaba protegida por autenticaci\u00f3n de dos factores (2FA). Esta es una capa adicional de protecci\u00f3n que solicita un c\u00f3digo antes de iniciar sesi\u00f3n, lo cual omitieron. Simplemente necesitaban un peque\u00f1o dispositivo Flipper Zero y una placa de desarrollo Wi-Fi, los cuales se pueden comprar en l\u00ednea.<\/p>\n\n\n\n

El dispositivo Flipper Zero, que cuesta s\u00f3lo 169 d\u00f3lares, es similar a una “navaja suiza” para los investigadores de seguridad. Les permite leer, copiar y emular etiquetas de radiofrecuencia y comunicaci\u00f3n de campo cercano (NFC), controles remotos de radio, claves de acceso digitales y otras se\u00f1ales. Es legal en Estados Unidos, aunque Canad\u00e1 acaba de presentar medidas para prohibirlo. Los investigadores utilizaron un Flipper Zero junto con la placa de desarrollo de Wi-Fi para generar y transmitir una p\u00e1gina de inicio de sesi\u00f3n de Tesla falsa, antes de enga\u00f1ar a la v\u00edctima para que compartiera sus credenciales de inicio de sesi\u00f3n.<\/p>\n\n\n\n

\u00bfC\u00f3mo funciona el truco?
<\/strong>Los investigadores llevaron a cabo esta explotaci\u00f3n a trav\u00e9s de una red Wi-Fi p\u00fablica llamada “Tesla Guest”, similar a las que se utilizan en los centros de servicio de Tesla. Difundieron una versi\u00f3n falsa de esta red a trav\u00e9s del Flipper Zero, es decir, si alguien hiciera clic en el cautivo Para acceder a Wi-Fi, aparecer\u00eda una pantalla de inicio de sesi\u00f3n de Tesla falsa. La transmisi\u00f3n de esta red Wi-Fi falsa en lugares com\u00fanmente visitados por los conductores de Tesla, como los Tesla SuperChargers, permitir\u00eda a los ciberdelincuentes robar los detalles de inicio de sesi\u00f3n de las cuentas de Tesla.<\/p>\n\n\n\n

Si el exploit se da en el mundo real, un pirata inform\u00e1tico s\u00f3lo tendr\u00eda que esperar a que un conductor de Tesla desprevenido se conecte a la red Wi-Fi falsa y escriba sus datos de inicio de sesi\u00f3n en el portal de inicio de sesi\u00f3n falso. Las credenciales del usuario, incluida su direcci\u00f3n de correo electr\u00f3nico, contrase\u00f1a y c\u00f3digo 2FA, aparecer\u00edan en la pantalla del Flipper Zero. Luego, despu\u00e9s de obtener esta informaci\u00f3n, el hacker puede iniciar la aplicaci\u00f3n Tesla y acceder a la cuenta de la v\u00edctima.<\/p>\n\n\n\n

La aplicaci\u00f3n proporciona una ubicaci\u00f3n en vivo del autom\u00f3vil sin que el pirata inform\u00e1tico tenga que activar de antemano su llave digital, que est\u00e1 en su tel\u00e9fono. Al activar la llave cerca del coche de la v\u00edctima, el hacker puede controlarlo de forma remota. Lo alarmante es que puedes hacer esto sin estar en el auto: solo necesitas habilitar Bluetooth y activar la configuraci\u00f3n de ubicaci\u00f3n. Debido a que no aparecen alertas en la aplicaci\u00f3n del usuario o en la pantalla t\u00e1ctil integrada de su autom\u00f3vil para informar que se ha agregado un nuevo dispositivo a su cuenta, no sabr\u00e1n que alguien ha comprometido su cuenta y est\u00e1 tratando de controlar su autom\u00f3vil.<\/p>\n\n\n\n

Al demostrar este exploit, el investigador abri\u00f3 con \u00e9xito la puerta de un Tesla Model 3 y mostr\u00f3 c\u00f3mo agregar la llave digital sin que apareciera una notificaci\u00f3n en la pantalla t\u00e1ctil. Pudieron arrancar el coche y alejarse.<\/p>\n\n\n\n

Los investigadores se sorprendieron al saber que se necesita una tarjeta de acceso f\u00edsica (que se les proporciona a todos los conductores de Tesla) para autenticar la extracci\u00f3n de una llave digital, y que se env\u00eda una notificaci\u00f3n autom\u00e1tica al propietario del autom\u00f3vil despu\u00e9s de que se retira la llave. Esto a pesar de que no se env\u00eda dicha notificaci\u00f3n cuando se agrega una nueva clave.<\/p>\n\n\n\n

\u00bfQu\u00e9 significa para la seguridad de los veh\u00edculos el\u00e9ctricos?
<\/strong>A pesar de que el manual del propietario de Tesla indica que la tarjeta de acceso f\u00edsica es necesaria para agregar y quitar llaves digitales, los investigadores demostraron que este es solo el caso para quitar llaves digitales, no para agregarlas. El equipo de Mysk inform\u00f3 sus hallazgos a Tesla Product Security, que respondi\u00f3 llamando a esto “comportamiento previsto”.<\/p>\n\n\n\n

“Mostramos c\u00f3mo la ingenier\u00eda social y el phishing pueden ser eficaces”, escribieron los investigadores en su presentaci\u00f3n. “Incluso venci\u00f3 la autenticaci\u00f3n multifactor”.<\/p>\n\n\n\n

Los investigadores de seguridad creen que la autenticaci\u00f3n con tarjeta de clave deber\u00eda ser obligatoria y que los propietarios de Tesla deber\u00edan recibir notificaciones si se agrega una nueva clave a su cuenta.<\/p>\n\n\n\n

Jake Moore, asesor de seguridad global de la empresa de seguridad cibern\u00e9tica ESET, dijo a Live Science que los dispositivos de f\u00e1cil acceso como Flipper Zero “pueden hacer mucho para ayudar a los actores de amenazas en actividades maliciosas”.<\/p>\n\n\n\n

“Al actuar como una herramienta m\u00e1s en el conjunto de herramientas del hacker, junto con otras t\u00e9cnicas de ingenier\u00eda social, estos dispositivos a\u00f1aden una nueva dimensi\u00f3n que las v\u00edctimas deben tener en cuenta”, explic\u00f3.<\/p>\n\n\n\n

“Con un sinf\u00edn de dispositivos inteligentes en el mercado y tecnolog\u00eda inal\u00e1mbrica integrada en dispositivos que nunca antes justificaron su uso, debemos estar en guardia m\u00e1s que nunca”.<\/p>\n\n\n\n

Fuente: Live Science<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Las llaves digitales se han convertido en una forma com\u00fan y conveniente de desbloquear veh\u00edculos el\u00e9ctricos (EV), pero los investigadores de seguridad han demostrado c\u00f3mo los delincuentes pueden aprovechar esto. Los investigadores de ciberseguridad Tommy Mysk y Talal Haj Bakry, que trabajan para la empresa de tecnolog\u00eda Mysk, descubrieron un exploit que permite a los […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-51440","post","type-post","status-publish","format-standard","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/posts\/51440","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/comments?post=51440"}],"version-history":[{"count":9,"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/posts\/51440\/revisions"}],"predecessor-version":[{"id":51449,"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/posts\/51440\/revisions\/51449"}],"wp:attachment":[{"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/media?parent=51440"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/categories?post=51440"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/einsteresante.com\/index.php\/wp-json\/wp\/v2\/tags?post=51440"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}