Un joven de 19 años pudo desbloquear puertas, abrir ventanas, poner música a todo volumen y encender autos Teslas de forma remota / Las vulnerabilidades explotadas se debieron a una aplicación de terceros

Redacción.- Un hacker de 19 años afirma haberse apoderado de más de 20 vehículos Tesla en 10 países a través de una vulnerabilidad de software.

David Colombo, quien reside en Alemania, lo dio a conocer a través de la red Twitter diciendo que la culpa no recae en la empresa fundada por Elon Musk, sino en los propietarios de los Tesla.

Se dice que la falla se encontró en un software de terceros que permitió a Colombo desbloquear puertas y ventanas, encender los autos sin llaves y desactivar los sistemas de seguridad. También tuiteó que la vulnerabilidad le permite usar las cámaras internas de Tesla para espiar al conductor. 

Colombo le dijo al diario británico DailyMail.com que "no es una vulnerabilidad en la infraestructura de Tesla, sino que es causada por los propietarios de Tesla y un tercero", dijo, confirmando que es un software de terceros el que tiene la culpa. 

"Estoy en contacto con el equipo de seguridad de productos de Tesla para coordinar la divulgación y notificar a los propietarios afectados, así como la implementación de una mitigación/parche para la vulnerabilidad". El problema con el software es cómo almacena la información del propietario de Tesla que se necesita para vincular los autos al programa, según se explica.

La revista GizModo afirma que David Colombo proporcionó una descripción detallada de su experimento, afirmando que podía ejecutar comandos de forma remota (como ajustar el volumen del sistema de música del vehículo, manipular sus puertas y ventanas e incluso activar la herramienta “Conducción sin llave” de Tesla). Y todo esto sin que los conductores lo supiesen. Colombo reveló que pudo acceder a los vehículos a través de un fallo de seguridad en una herramienta de registro de código abierto llamada TeslaMate. Esa herramienta permite a los propietarios de Tesla monitorizar datos más específicos, como el consumo de energía de su vehículo o el historial de sus ubicaciones, por medio de la API de Tesla. Sin embargo, Colombo dijo que pudo aprovechar un puñado de las claves API de Tesla que TeslaMate había dejado sin cifrar para ejecutar sus propios comandos.