Pwn2Own Automotive 2025: $886,000 en Premios y 49 Vulnerabilidades Expuestas en el Mundo Automotriz

SeguridadNoticias

Published:

Reading time: 3 min.

El evento  Automotive 2025, celebrado en el marco de la conferencia Automotive World en Tokio, ha dejado al descubierto importantes fallos de seguridad en sistemas de infoentretenimiento, estaciones de carga para vehículos eléctricos y plataformas operativas utilizadas en la industria automotriz. Durante tres días de intensa competencia, investigadores de seguridad demostraron 49 vulnerabilidades 0-day (fallos previamente desconocidos) que podrían comprometer la infraestructura tecnológica de los vehículos modernos.

 

Este evento no solo pone a prueba las habilidades de los participantes, sino que también ofrece recompensas económicas por cada vulnerabilidad explotada con éxito. En esta edición, se repartieron 886,000doˊlaresenpremios∗∗,destacaˊndoselainvestigadora∗∗SinaKheirkhah∗∗,quiensellevoˊ∗∗222,000 dólares por sus hallazgos.

Los Ataques Más Destacados

Sistemas de Infoentretenimiento

Los sistemas de infoentretenimiento fueron uno de los principales focos de atención durante la competencia. Estos sistemas, que integran funciones como navegación, música y conectividad, demostraron ser vulnerables a una variedad de ataques:

  • Automotive Grade Linux: Un equipo logró comprometer esta plataforma, ampliamente utilizada en la industria, obteniendo un premio de $33,500 dólares.
  • Alpine iLX-507: Nueve ataques exitosos expusieron vulnerabilidades como desbordamientos de buffer, errores de verificación de certificados y sustitución de comandos. Llama la atención que tres de estos ataques aprovecharon una vulnerabilidad reportada en la edición anterior, lo que sugiere que algunos fabricantes no han corregido fallos conocidos.
  • Sony XAV-AX8500: Cinco hackeos exitosos, con recompensas que totalizaron $20,000 dólares, revelaron problemas como desbordamientos de enteros y omisiones de autenticación.
  • Kenwood DMX958XR: Ocho ataques lograron comprometer este sistema, explotando fallos como desbordamientos de buffer y errores en la sustitución de comandos.

Estaciones de Carga para Vehículos Eléctricos

Uno de los hallazgos más alarmantes fue la cantidad de vulnerabilidades encontradas en estaciones de carga para vehículos eléctricos. Estos fallos podrían representar un riesgo significativo si son explotados en entornos reales:

  • Phoenix Contact CHARX SEC-3150: Tres ataques exitosos, con un premio total de $91,750 dólares, incluyeron un exploit que combinaba tres errores encadenados para tomar control del sistema.
  • ChargePoint Home Flex: Se identificaron desbordamientos de buffer y exploits contra el protocolo OCPP, clave en la comunicación entre estaciones de carga y la red eléctrica, con recompensas de hasta $47,500 dólares.
  • Ubiquiti Connect EV Station: Dos ataques permitieron explotar una clave criptográfica dejada en el firmware, obteniendo premios de 50,000y26,750 dólares.
  • Tesla Wall Connector: Cinco hackeos exitosos, con pagos que alcanzaron los $50,000 dólares, expusieron riesgos graves para los propietarios de vehículos Tesla.
  • Autel MaxiCharger AC Wallbox: Cuatro ataques exitosos, con premios de hasta $50,000 dólares, revelaron desbordamientos de buffer que podrían comprometer la seguridad del dispositivo.

¿Por Qué es Importante este Evento?

Pwn2Own Automotive no solo es una competencia, sino también una plataforma que expone las debilidades de los sistemas tecnológicos en la industria automotriz. Los hallazgos de este evento son cruciales para que los fabricantes corrijan fallos antes de que sean explotados por actores maliciosos en el mundo real.

Además, el evento fomenta la colaboración entre investigadores y fabricantes, ya que los detalles técnicos de las vulnerabilidades no se hacen públicos hasta después de 90 días, dando tiempo a los desarrolladores para lanzar parches de seguridad.

Conclusiones y Reflexiones

El Pwn2Own Automotive 2025 ha demostrado que, a medida que los vehículos se vuelven más conectados y dependientes de la tecnología, también se vuelven más vulnerables a ciberataques. La exposición de 49 vulnerabilidades 0-day en sistemas críticos como estaciones de carga y sistemas de infoentretenimiento subraya la necesidad de priorizar la seguridad en el diseño y desarrollo de estas tecnologías.

Para los fabricantes, este evento es una llamada de atención para revisar y fortalecer sus sistemas. Para los consumidores, es un recordatorio de la importancia de mantener sus dispositivos actualizados y estar atentos a las actualizaciones de seguridad.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles

LO MAS VISTO DEL MES

BIENVENIDO A NKSISTEMAS, TU WEB DE TECNOLOGIA

Un lugar donde encontrarás mucha información de Linux, Docker, Kubernetes, AWS, , Windows,Fortigate, VMware, Citrix, Redes, CCNA, Seguridad y hacking, y todo lo relativo al mundo informático por medio de cursos, tutoriales y videos. Mi nombre es Jorge, soy Sr sysadmin/DevOps/SRE, compartiendo conocimientos desde Buenos Aires, Argentina.

© NKSISTEMAS 2010