Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
704
)
-
▼
mayo
(Total:
76
)
-
Los chats grupales de WhatsApp no son seguros: no ...
-
Bill Gates vincula a Elon Musk con "la muerte de l...
-
Hackean grupo ransomware LockBit y publican las ne...
-
Bill Gates: "Dentro de 10 años la mayoría de las t...
-
Elon Musk sentencia el fin del mundo: "Toda la vid...
-
Acusan a Grok, la IA de Elon Musk, de desnudar a m...
-
El tráiler de Grand Theft Auto VI supera los 475 m...
-
La IA es cada vez más potente, pero sus alucinacio...
-
El primer "internet cuántico": una red funcional c...
-
Interrupt, la alternativa a Flipper Zero de código...
-
Drones kamikaze: Cómo funcionan y por qué los quie...
-
Convencen a la IA para robar contraseñas
-
OpenAI quiere seducir a más gobiernos para expandi...
-
La OCU sufre un ciberataque que deja al descubiert...
-
China dispara un láser al espacio para cazar satél...
-
Darcula: PhaaS que robó 884.000 tarjetas de crédit...
-
Amazon quiere revolucionar el trabajo en sus almac...
-
WhatsApp copia de Apple Intelligence una de las me...
-
MateBook X Pro 2024 Linux Edition, la respuesta de...
-
Safari añadirá soporte para buscadores con IA como...
-
Seagate desarrolla un disco de 100 TB para 2030
-
El Tribunal Supremo de España aclara que el Banco ...
-
Más de 250 líderes tecnológicos quieren hacer obli...
-
De la arquitectura al silicio - ¿cómo se diseña un...
-
¿Qué son los agentes de IA? - La Nueva Frontera de...
-
El CEO de Microsoft AI avisa sobre los cambios en ...
-
EE. UU. planea un proyecto de ley para rastrear lo...
-
Todos los móviles Xiaomi tienen un generador de im...
-
Nuevo método de robo de cuentas de WhatsApp a trav...
-
El Vaticano convierte el cónclave en una fortaleza...
-
GTA 6 confirma a sus protagonistas: Quiénes son Ja...
-
Microsoft presenta sus nuevos portátiles Surface 2...
-
Google Gemini 2.5 Pro actualizado: permite crear a...
-
Fedora Linux llega a WSL de Windows
-
Gemini Live interactuará con las apps de Google
-
NSO, autora de Pegasus, deberá pagar 167 millones ...
-
OpenAI explica cómo elegir el modelo ChatGPT ideal...
-
Las empresas querían monitorizar el teletrabajo co...
-
Face ID no funciona en iPhone 11 o 12: causas y có...
-
El modelo de IA de DeepSeek se utiliza para diseña...
-
Filtran datos de millones de recargas telefónicas ...
-
Windows RDP permite iniciar sesión con contraseñas...
-
Multa histórica a TikTok: la UE castiga con 530 mi...
-
Acuerdo en el ERE para despedir a 2.000 trabajador...
-
Telefónica podría despedir a 5.000 empleados de Es...
-
Microsoft pone punto y final a Skype, que desde ho...
-
Más de 30 años después vuelve la mítica revista Mi...
-
Vulnerabilidad crítica en Tesla Model 3 a través d...
-
Apple trabaja en una nueva versión de Xcode impuls...
-
El gobierno de Trump usa un "Signal modificado" y ...
-
Una comba inteligente que no tiene cuerdas de Xiaomi
-
Un estudio analiza más de 19.000 millones de contr...
-
La nueva fábrica hiper-robotizada de Xiaomi que pr...
-
Grabar llamadas en España es legal
-
OpenDocument (ODF) cumple veinte años
-
¿Qué fue de los creadores de YouTube? Steve Chen, ...
-
CAIDO: Una nueva herramienta para pentesters en la...
-
CanallaCON 2025: en Roquetas de Mar (Almería): 22,...
-
Google permitirá que los niños interactúen con la ...
-
Aurelio (Aurex) condenado a 2 años y medio de prisión
-
Windows 10 IoT Enterprise LTSC 2021, el Windows 10...
-
Cómo crear cuentas seguras para menores en Instagr...
-
Microsoft dice adiós a las contraseñas en todas la...
-
Grand Theft Auto VI estará disponible en mayo de 2026
-
Gemini de Google ya permite editar imágenes
-
Xiaomi presenta MiMo: su propio ChatGPT
-
Google dice que una parte considerable de los hack...
-
FBI incauta PhaaS LabHost y publica listado de 42....
-
Elaboran una guía para pillar a los estudiantes qu...
-
Un ciberataque impacta en el proveedor de agua de ...
-
Celebran la primera carrera de espermatozoides de ...
-
Mercadona utilizó grupos electrógenos durante el a...
-
DeepSeek Prover V2, una nueva IA de código abierto...
-
La Wikipedia usará la IA para mejorar su enciclopedia
-
Una juez prohíbe a Apple cobrar en Estados Unidos ...
-
El primer abogado robot sancionado con 193 mil $
-
-
▼
mayo
(Total:
76
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Flipper Zero es una de las herramientas más utilizadas por los hackers un dispositivo que, a pesar de su pequeño tamaño, puede hacer un gr... -
La Organización de Consumidores y Usuarios (OCU) de España ha sufrido una brecha de datos, La filtración de información se publicó en novi... -
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
Vulnerabilidad crítica en Tesla Model 3 a través del TPMS
El CVE-2025-2082 es una vulnerabilidad crítica descubierta en vehículos Tesla Model 3 que permite a un atacante cercano ejecutar código arbitrario de forma remota aprovechando el sistema de monitorización de presión de neumáticos (TPMS, Tire Pressure Monitoring System) del automóvil. Este fallo, presentado por investigadores de Synacktiv durante la competición de hacking Pwn2Own Vancouver 2024, posibilita tomar control de funciones importantes sin necesidad de interacción del usuario. En otras palabras, un atacante puede explotar la vulnerabilidad sin que el conductor haga nada, lo cual la hace especialmente peligrosa.
El CVE-2025-2082 se origina en el módulo VCSEC (Vehicle Controller Secondary) del Tesla Model 3, el cual gestiona comunicaciones con los sensores TPMS, los seguros de puertas y procedimientos de arranque del vehículo. El problema específico es un desbordamiento de entero (integer overflow) al procesar mensajes provenientes de los sensores TPMS. Un atacante que envíe una respuesta maliciosamente manipulada durante el emparejamiento de un sensor de neumáticos puede provocar un error de validación de índices, desencadenando en un desbordamiento antes de escribir en memoria. Este fallo permite escribir datos fuera de los límites del búfer previsto en la memoria del módulo VCSEC, lo que abre la puerta a ejecutar código malicioso en el contexto de dicho módulo. Una vez comprometido el VCSEC, el atacante obtiene la capacidad de enviar mensajes arbitrarios al bus CAN del vehículo, la red interna que gobierna funciones críticas como la aceleración, frenado, dirección y otras operaciones del automóvil.
-1.jpg)
Algunos aspectos técnicos clave de esta vulnerabilidad son:
- Explotación sin interacción del usuario (zero-click): el ataque no requiere que el conductor realice ninguna acción. El TPMS del vehículo procesa automáticamente los datos de los sensores, de modo que el simple hecho de estar dentro del alcance necesario permite intentar la intrusión.
- Sin necesidad de autenticación: no se requieren credenciales ni emparejamientos especiales para explotar el fallo. Los sensores de neumáticos no emplean autenticación robusta en el proceso vulnerable, por lo que un atacante puede suplantar un sensor legítimo sin autenticarse.
- Vector de ataque de proximidad: para realizar la explotación, es necesario que el atacante se encuentre físicamente cerca del vehículo (por ejemplo, dentro del alcance Bluetooth de los sensores TPMS). No es un ataque vía internet, pero podría llevarse a cabo desde, por ejemplo, el mismo parking donde esté el coche.
- Debilidad en protecciones de memoria: la memoria del módulo VCSEC tenía zonas donde se podía leer, escribir y ejecutar (permisos RWX). Esta configuración errónea facilitaba la carga y ejecución del código malicioso una vez explotado el desbordamiento, eludiendo protecciones que suelen prevenir la ejecución de código en áreas de datos. En resumen, la combinación del error de validación y la falta de protección de memoria hizo viable la ejecución remota de código en el sistema del vehículo.
Impacto potencial y riesgos
Las implicaciones de seguridad del CVE-2025-2082 son graves, ya que un atacante exitoso obtendría control de un componente crítico del vehículo. En el peor de los casos, podría tomar control casi total sobre funciones del automóvil, con posibilidades que incluyen:
- Robo o acceso no autorizado: el intruso podría desbloquear puertas y encender el vehículo sin la llave ni permiso del dueño, facilitando el robo del vehículo. Además, tendría acceso no autorizado a sistemas internos, comprometiendo la integridad del vehículo.
- Desactivar sistemas de seguridad: funciones de seguridad vitales podrían ser inhabilitadas remotamente, por ejemplo los airbags, frenos ABS o alertas de colisión, poniendo en riesgo a los ocupantes.
- Manipular la conducción: al tener acceso al bus CAN, el atacante podría enviar órdenes falsas a distintos actuadores. En teoría, esto le permitiría guiar la dirección, acelerar o frenar el coche a voluntad, interfiriendo con el control del conductor. Funciones como la aceleración y el frenado, que son gestionadas electrónicamente, podrían activarse o desactivarse de forma ilícita.
- Compromiso de datos y privacidad: el control de un módulo interno también implica la posibilidad de acceder a datos sensibles del vehículo o del conductor (por ejemplo, registros, configuraciones, ubicaciones almacenadas), violando la confidencialidad.
Medidas de mitigación y recomendaciones
Tesla abordó rápidamente el problema mediante una actualización de firmware. La vulnerabilidad fue corregida en la versión 2024.14 del software de Tesla Model 3, distribuida como actualización over-the-air (OTA) a finales de 2024. Esto significa que todos los vehículos Model 3 con ese parche (o cualquier versión posterior) están protegidos frente a esta explotación. Los detalles técnicos completos se revelaron públicamente el 30 de abril de 2025, una vez transcurrido el proceso coordinado de divulgación y con la solución ya desplegada a los usuarios.
Si es propietario de un Tesla Model 3, asegúrese de tener actualizado el software de su vehículo a la última versión que ofrezca el fabricante. En este caso específico, verificar que el coche tenga instalado el firmware 2024.14 o superior garantiza la protección contra CVE-2025-2082.
En cuanto a mitigaciones temporales, no existe una solución manual sencilla para el usuario final aparte de la actualización. Dado que el ataque explota la comunicación normal con los sensores TPMS, uno no puede deshabilitar fácilmente esa funcionalidad sin afectar la operatividad del vehículo. Por lo tanto, la estrategia adecuada es confiar en el parche oficial.
Más información:
- https://nvd.nist.gov/vuln/detail/CVE-2025-2082
- https://cyberpress.org/tesla-model-3-vcsec-flaw/#:~:text=A%20critical%20vulnerability%20in%20Tesla,TPMS
- https://www.zerodayinitiative.com/advisories/ZDI-25-265/#:~:text=The%20specific%20flaw%20exists%20within,to%20the%20vehicle%20CAN%20bus
- https://gbhackers.com/tesla-model-3-vcsec-vulnerability/#:~:text=Successful%20exploitation%20could%3A
Fuentes:
https://unaaldia.hispasec.com/2025/05/vulnerabilidad-critica-en-tesla-model-3-a-traves-del-tpms.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.