Desbloqueando Teslas: Cómo un Ataque de Phishing y Flipper Zero Ponen en Peligro la Seguridad de los Automóviles

El ataque de phishing es una de las amenazas más comunes y efectivas en el mundo digital actual. Su simplicidad y capacidad para engañar a los usuarios lo convierten en una herramienta popular entre los ciberdelincuentes. Pero, ¿qué sucede cuando se combina con dispositivos de hacking como Flipper Zero? En este post, exploraremos cómo un ataque de phishing sencillo, utilizando un dispositivo Flipper Zero, puede comprometer las cuentas de Tesla, desbloquear automóviles y arrancarlos.

Los investigadores de seguridad Talal Haj Bakry y Tommy Mysk descubrieron una vulnerabilidad preocupante en la última aplicación de Tesla, versión 4.30.6, y en la versión 11.1 2024.2.7 del software Tesla. Informaron su hallazgo a Tesla, señalando que vincular un automóvil a un teléfono nuevo carece de la seguridad de autenticación adecuada. Sin embargo, el fabricante de automóviles determinó que el informe estaba fuera de alcance.

El ataque se lleva a cabo utilizando un método de suplantación de identidad, donde un atacante crea una red WiFi falsa con el nombre “Tesla Guest”. Esta red es similar a las utilizadas en los centros de servicio de Tesla, lo que la hace familiar para los propietarios de automóviles. Una vez que la víctima se conecta a esta red falsa, se le presenta una página de inicio de sesión falsa de Tesla, solicitando sus credenciales de cuenta. Todo lo que la víctima ingresa en esta página de phishing es capturado por el atacante en tiempo real, gracias al dispositivo Flipper Zero u otros dispositivos similares.

Después de que la víctima ingresa sus credenciales, la página de phishing solicita la contraseña de un solo uso para la cuenta, con el objetivo de eludir la protección de autenticación de dos factores. Una vez que el atacante obtiene acceso a la cuenta Tesla de la víctima, puede realizar una serie de acciones maliciosas.

Una de estas acciones es agregar una nueva “Clave de teléfono” a la cuenta Tesla de la víctima. Esta clave de teléfono permite al atacante bloquear y desbloquear el vehículo automáticamente, a través de una conexión Bluetooth segura. Sorprendentemente, agregar una nueva clave de teléfono no requiere que el automóvil esté desbloqueado ni que el teléfono inteligente esté dentro del vehículo, lo que representa una grave brecha de seguridad.

Una vez que se agrega una nueva clave de teléfono, el propietario del Tesla no recibe ninguna notificación sobre el hecho a través de la aplicación, ni se muestra ninguna alerta en la pantalla táctil del automóvil. Esto significa que el propietario podría no ser consciente de que su vehículo ha sido comprometido.

Es importante destacar que este ataque ha sido probado con éxito en un Tesla Model 3. Los investigadores argumentan que requerir una clave de tarjeta Tesla física al agregar una nueva clave de teléfono mejoraría significativamente la seguridad, al agregar una capa adicional de autenticación para el nuevo teléfono. Sin embargo, Tesla respondió que este comportamiento era el previsto y que no se necesita una tarjeta de acceso para agregar una llave de teléfono, según el manual del propietario del Tesla Model 3.

En conclusión, este caso ilustra cómo un ataque de phishing aparentemente simple, combinado con dispositivos de hacking como Flipper Zero, puede tener consecuencias graves y potencialmente peligrosas. La seguridad cibernética es más importante que nunca, y es fundamental que las empresas tomen medidas proactivas para proteger a sus usuarios contra este tipo de amenazas.

#Seguridad? #Phishing? #Tesla? #FlipperZero? #Ciberseguridad? #Hacking? #AutosConectados? #Autenticacion2Factores? #LlavesInteligentes? #ProteccionDatos?️