La historia del joven que pirateó coches de Tesla en 13 países

La tecnología aporta grandes beneficios a la sociedad actual, pero en un mundo cada vez más interconectado a menudo se producen brechas de seguridad que pueden dejar expuesta información privada de personas anónimas.

David Colombo es un jovencísimo alemán de 19 años y propietario de una empresa de ciberseguridad que recientemente causó sensación en Twitter cuando comunicó que había conseguido tomar el control remoto parcial de varios coches de Tesla.

Afortunadamente sus intenciones eran nobles y tan sólo estaba interesado en descubrir si existía dicha brecha de seguridad, de ahí que cuando la detectó la hizo pública para que las partes implicadas tomaran cartas en el asunto.

¿CÓMO SE HACKEA UN TESLA?

La historia se remonta a 2021 cuando a través de su empresa, Colombo Technology, trabajó con otra de software, de París, cuyo director de tecnología conducía un Tesla.

Curioseando acerca de la marca, descubrió una página web, llamada TeslaMate, que le daba todo tipo de información sobre el coche del propietario, incluido el tiempo que llevaba dormido, su estado de carga y su kilometraje. Según el mismo afirma, "debo decir que soy un gran fan de Tesla; así que tenía muchas ganas de saber qué era exactamente esta cosa".

La página web TeslaMate tiene una aplicación  que realiza un autoguardado de datos relativos al coche y cuyo código es abierto, lo que significa que puedes encontrar toda la información relativa a su funcionamiento en la plataforma GitHub, muy común entre los desarrolladores.

Aunque en un principio parecía que sólo podía mostrar información sobre el coche, indagó más y descubrió que en realidad podía encontrar todos los datos de conducción del coche. Eso significaba que podía ver dónde había estado, dónde había cargado, dónde suele aparcar, las solicitudes de navegación, el historial de actualizaciones de software y mucho más.

En ese momento, como el mismo indica "definitivamente supe que esto es un problema que debía de reportar ya que no debería de saber dónde se fue de vacaciones tal usuario".

El descubrimiento de que TeslaMate podía extraer datos hizo que Colombo pensó entonces que, si podía leer los datos, quizás también podría enviar comandos al Tesla. Leyó su código fuente para averiguar cómo funcionaba la autentificación y descubrió que se podía acceder al control de un conjunto concreto de acciones del vehículo. ¿Cómo? utilizando el truco más antiguo del libro. La instalación de la suite Grafana, de TeslaMate Docker, viene con credenciales por defecto así que probó a iniciar sesión como administrador, y funcionó.

En ese momento David Colombo tenía acceso a un amplio abanico de acciones que realizar con el Tesla: descubrió que podía bloquear y desbloquear las puertas, tocar el claxon, cambiar la configuración de la calefacción y la refrigeración, y mucho más. Incluso era posible abrir algunas puertas de garaje si estaban conectadas a los más de 25 vehículos de 13 países a los que descubrió que podía acceder.

Aunque no pudo controlar la dirección, el acelerador o los frenos, Colombo apunta a que es un problema de seguridad importante y incluso podría dar lugar a algunas situaciones peligrosas en la carretera como, por ejemplo poner la música a todo volumen o deslumbrar a otros coches con las luces, por la noche".

AVISO A TESLA

Tras el hallazgo por el que se ha hecho conocido, Colombo reportó toda la información a Tesla y al resto del mundo; y desde el pasado 13 de enero, los usuarios afectados ya han sido avisados por el equipo de seguridad de Tesla para que comprueben sus coches.

Aunque Colombo dice que hizo todo esto para poner de relieve los fallos de seguridad, en realidad no cree que Tesla haya hecho un mal trabajo ni que haya sido especialmente laxa en sus medidas de ciberseguridad. Como el mismo apunta, "en este caso se trata de un problema de terceros y, aunque siempre se puede mejorar, en realidad estoy impresionado con la seguridad de Tesla y su respuesta a este problema. Ellos no son responsables de los problemas de los propietarios o de terceros. Por suerte, aún así han ayudado a remediar esto y a proteger a los propietarios afectados. Incluso ahora implementen algunas recomendaciones para dar a sus usuarios una experiencia aún más segura".

RECOMENDACIONES DEL EXPERTO

Si eres un propietario de Tesla que estás preocupado por el asunto, Colombo tiene algunas recomendaciones: 

1. Asegurarte de con quién compartes credenciales
2. Activar el Pin-to-Drive para evitar que alguien te robe el coche
3. Actualizar TeslaMate

Según señala el joven hacker alemán investigando "seguiré investigando sobre la seguridad relacionada con Tesla para mantenerla lo más segura posible. La seguridad en la automoción es un tema muy importante, especialmente cuando otros fabricantes de automóviles, como Volkswagen, se unen a la digitalización de sus flotas".