Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
1696
)
- ► septiembre (Total: 148 )
-
▼
mayo
(Total:
219
)
-
DeepSeek vuelve a actualizar R1: su IA rinde como ...
-
Perplexity Labs es una herramienta de IA que puede...
-
Noctua y sus avances en su sistema de refrigeració...
-
Valyrio, el youtuber detenido junto al ex número d...
-
Sistema operativo open source prplOS para routers ...
-
Alcasec detenido por octava vez en la operación Bo...
-
Grok, la IA de Elon Musk, se integra en Telegram
-
Alguien estaba tan cansado de la lentitud de Windo...
-
Así nació la telefonía en España: la historia de c...
-
Claude 4 añade a su inteligencia artificial los me...
-
Bitwarden expone a sus usuarios a JavaScript malic...
-
Microsoft implementa criptografía postcuántica en ...
-
Google dice que el cifrado RSA de 2.048 bits es un...
-
Opera Neon, el primer servicio de IA que es capaz ...
-
Detectar malware mediante inteligencia artificial
-
WhatsApp llega finalmente al iPad tras 15 años de ...
-
Vulnerabilidad Zero-Day en SMB del kernel de Linux...
-
Intel pilla a una empleada que había estafado casi...
-
Módulos SFP y QSFP: Tipos, Usos y Comparativas
-
Detenido el ex secretario de Estado de Interior de...
-
Robados los datos de 5,1 millones de clientes de A...
-
China lanza al espacio un enjambre de supercomputa...
-
Telefónica apaga sus últimas centralitas de cobre ...
-
Suecia castigará con cárcel a quienes paguen por c...
-
Robots humanoides peleando en un ring: China celeb...
-
Cómo optimizar y personalizar Windows con RyTuneX
-
SteamOS estrena soporte para máquinas de terceros
-
Apple prepara cambios importantes para el iPhone
-
La CIA usó una increíble web de Star Wars para esp...
-
SteamOS saca las vergüenzas a Windows en consolas ...
-
URLCheck analiza los enlaces en Android
-
Donald Trump amenaza con imponer más aranceles al ...
-
NotebookLM: qué es, cómo funciona y cómo usar la I...
-
Careto, un grupo de hackers cuyos ataques "son una...
-
Claude Opus 4, la nueva IA de Anthropic, fue capaz...
-
Signal se blinda contra Microsoft Recall con una f...
-
El Deportivo de la Coruña sufre un ciberataque que...
-
Xiaomi presenta Xring O1, su primer chip de gama a...
-
El escándalo por el hackeo al Ejército Argentino s...
-
Expertos aseguran que el WiFi mundial empeorará en...
-
OpenAI compra io, la misteriosa empresa de intelig...
-
¿Para qué sirven los dos agujeros cuadrados del co...
-
Anthropic presenta Claude 4 Sonnet y Opus
-
Filtradas 184 millones de contraseñas de Apple, Gm...
-
ChatGPT desespera a los programadores: 5 años estu...
-
BadSuccessor: escalada de privilegios abusando de ...
-
Ciudad Real, cuna de los mejores hackers éticos
-
Veo 3 es la nueva IA generativa de vídeo de Google
-
Declaran culpable al joven de 19 años por la mayor...
-
GitHub Copilot no solo escribe código: ahora escri...
-
Usuario lleva 8 años suministrando energía a su ca...
-
Google lanza AI Ultra: su suscripción de 250$ al m...
-
Cómo configurar llamadas Wi-Fi en iOS y Android
-
Google Meet puede traducir entre idiomas en tiempo...
-
AMD presenta FSR Redstone, una evolución que añade...
-
Análisis de amenazas más relevantes observadas dur...
-
Desarticulado el malware Lumma responsable de infe...
-
Google Video Overviews convierte tus documentos en...
-
Filtran 500 mil contraseñas de mexicanos y exponen...
-
Jean E. Sammet: la pionera del lenguaje de program...
-
El nuevo buscador de Google con IA para responder ...
-
Google presenta Android XR: su sistema con IA para...
-
Google SynthID Detector, una herramienta que ident...
-
Google permite probarte cualquier ropa de internet...
-
Meta paga 50 euros la hora a cambio de realizar es...
-
Intel presenta sus tarjetas gráficas Arc Pro B50 y...
-
En España los trabajadores del SEPE se desesperan ...
-
Microsoft lanza una nueva app de Copilot para crea...
-
Windows será controlado por agentes de IA
-
Ejecución sin archivos: cargadores HTA y PowerShel...
-
Versiones troyanizadas de KeePass
-
Mystical: un «lenguaje de programación» donde el c...
-
Llegan los robotaxis a Europa
-
AWS lanza una herramienta de IA para que los fans ...
-
Microsoft quiere una red agéntica abierta donde lo...
-
Microsoft hace el Subsistema de Windows para Linux...
-
El Proyecto zVault es un nuevo sistema Operativo c...
-
La UE presenta Open Web Search
-
CynGo, el Duolingo para aprender ciberseguridad de...
-
Cómo unos asaltadores de casinos han provocado el ...
-
Cómo fusionar particiones de disco en Windows
-
Fortnite para iOS deja de estar disponible en la U...
-
Mejores Bots de Telegram
-
La increíble historia del virus Stuxnet
-
Le pide a ChatGPT que le lea la mano y la IA detec...
-
Consejos del FBI para detectar el Phishing y Deep ...
-
Adiós al SEO, su sustituto se llama AEO: manipular...
-
Profesores universitarios recurren a ChatGPT para ...
-
La IA ha conseguido que Stack Overflow, el Santo G...
-
Tor Oniux, una herramienta que aísla aplicaciones ...
-
RootedCON lleva al Tribunal Constitucional los blo...
-
Hackeo a Coinbase: los atacantes se cuelan en las ...
-
El CEO de Cloudflare advierte que la IA y el inter...
-
Los nuevos grandes modelos de IA generativa se ret...
-
El Museo de Historia de la Computación, paraíso de...
-
Científicos españoles recrean corazones de gatos e...
-
Probar distros Linux en el navegador sin instalar ...
-
Trump le reclama a Tim Cook que deje de fabricar e...
-
YouTube usará Gemini para insertar anuncios imposi...
-
Nothing confirma su primer móvil de gama alta: cos...
-
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Un agente de IA de Google llamado Antigravity eliminó accidentalmente todos los datos del disco duro de un desarrollador. Después de la eli... -
A partir de 2026, la validez de los certificados digitales disminuirá gradualmente, pasando de 398 días a 47 días para 2029 . Let's Encr...
Vulnerabilidad crítica en Tesla Model 3 a través del TPMS
El CVE-2025-2082 es una vulnerabilidad crítica descubierta en vehículos Tesla Model 3 que permite a un atacante cercano ejecutar código arbitrario de forma remota aprovechando el sistema de monitorización de presión de neumáticos (TPMS, Tire Pressure Monitoring System) del automóvil. Este fallo, presentado por investigadores de Synacktiv durante la competición de hacking Pwn2Own Vancouver 2024, posibilita tomar control de funciones importantes sin necesidad de interacción del usuario. En otras palabras, un atacante puede explotar la vulnerabilidad sin que el conductor haga nada, lo cual la hace especialmente peligrosa.
El CVE-2025-2082 se origina en el módulo VCSEC (Vehicle Controller Secondary) del Tesla Model 3, el cual gestiona comunicaciones con los sensores TPMS, los seguros de puertas y procedimientos de arranque del vehículo. El problema específico es un desbordamiento de entero (integer overflow) al procesar mensajes provenientes de los sensores TPMS. Un atacante que envíe una respuesta maliciosamente manipulada durante el emparejamiento de un sensor de neumáticos puede provocar un error de validación de índices, desencadenando en un desbordamiento antes de escribir en memoria. Este fallo permite escribir datos fuera de los límites del búfer previsto en la memoria del módulo VCSEC, lo que abre la puerta a ejecutar código malicioso en el contexto de dicho módulo. Una vez comprometido el VCSEC, el atacante obtiene la capacidad de enviar mensajes arbitrarios al bus CAN del vehículo, la red interna que gobierna funciones críticas como la aceleración, frenado, dirección y otras operaciones del automóvil.
-1.jpg)
Algunos aspectos técnicos clave de esta vulnerabilidad son:
- Explotación sin interacción del usuario (zero-click): el ataque no requiere que el conductor realice ninguna acción. El TPMS del vehículo procesa automáticamente los datos de los sensores, de modo que el simple hecho de estar dentro del alcance necesario permite intentar la intrusión.
- Sin necesidad de autenticación: no se requieren credenciales ni emparejamientos especiales para explotar el fallo. Los sensores de neumáticos no emplean autenticación robusta en el proceso vulnerable, por lo que un atacante puede suplantar un sensor legítimo sin autenticarse.
- Vector de ataque de proximidad: para realizar la explotación, es necesario que el atacante se encuentre físicamente cerca del vehículo (por ejemplo, dentro del alcance Bluetooth de los sensores TPMS). No es un ataque vía internet, pero podría llevarse a cabo desde, por ejemplo, el mismo parking donde esté el coche.
- Debilidad en protecciones de memoria: la memoria del módulo VCSEC tenía zonas donde se podía leer, escribir y ejecutar (permisos RWX). Esta configuración errónea facilitaba la carga y ejecución del código malicioso una vez explotado el desbordamiento, eludiendo protecciones que suelen prevenir la ejecución de código en áreas de datos. En resumen, la combinación del error de validación y la falta de protección de memoria hizo viable la ejecución remota de código en el sistema del vehículo.
Impacto potencial y riesgos
Las implicaciones de seguridad del CVE-2025-2082 son graves, ya que un atacante exitoso obtendría control de un componente crítico del vehículo. En el peor de los casos, podría tomar control casi total sobre funciones del automóvil, con posibilidades que incluyen:
- Robo o acceso no autorizado: el intruso podría desbloquear puertas y encender el vehículo sin la llave ni permiso del dueño, facilitando el robo del vehículo. Además, tendría acceso no autorizado a sistemas internos, comprometiendo la integridad del vehículo.
- Desactivar sistemas de seguridad: funciones de seguridad vitales podrían ser inhabilitadas remotamente, por ejemplo los airbags, frenos ABS o alertas de colisión, poniendo en riesgo a los ocupantes.
- Manipular la conducción: al tener acceso al bus CAN, el atacante podría enviar órdenes falsas a distintos actuadores. En teoría, esto le permitiría guiar la dirección, acelerar o frenar el coche a voluntad, interfiriendo con el control del conductor. Funciones como la aceleración y el frenado, que son gestionadas electrónicamente, podrían activarse o desactivarse de forma ilícita.
- Compromiso de datos y privacidad: el control de un módulo interno también implica la posibilidad de acceder a datos sensibles del vehículo o del conductor (por ejemplo, registros, configuraciones, ubicaciones almacenadas), violando la confidencialidad.
Medidas de mitigación y recomendaciones
Tesla abordó rápidamente el problema mediante una actualización de firmware. La vulnerabilidad fue corregida en la versión 2024.14 del software de Tesla Model 3, distribuida como actualización over-the-air (OTA) a finales de 2024. Esto significa que todos los vehículos Model 3 con ese parche (o cualquier versión posterior) están protegidos frente a esta explotación. Los detalles técnicos completos se revelaron públicamente el 30 de abril de 2025, una vez transcurrido el proceso coordinado de divulgación y con la solución ya desplegada a los usuarios.
Si es propietario de un Tesla Model 3, asegúrese de tener actualizado el software de su vehículo a la última versión que ofrezca el fabricante. En este caso específico, verificar que el coche tenga instalado el firmware 2024.14 o superior garantiza la protección contra CVE-2025-2082.
En cuanto a mitigaciones temporales, no existe una solución manual sencilla para el usuario final aparte de la actualización. Dado que el ataque explota la comunicación normal con los sensores TPMS, uno no puede deshabilitar fácilmente esa funcionalidad sin afectar la operatividad del vehículo. Por lo tanto, la estrategia adecuada es confiar en el parche oficial.
Más información:
- https://nvd.nist.gov/vuln/detail/CVE-2025-2082
- https://cyberpress.org/tesla-model-3-vcsec-flaw/#:~:text=A%20critical%20vulnerability%20in%20Tesla,TPMS
- https://www.zerodayinitiative.com/advisories/ZDI-25-265/#:~:text=The%20specific%20flaw%20exists%20within,to%20the%20vehicle%20CAN%20bus
- https://gbhackers.com/tesla-model-3-vcsec-vulnerability/#:~:text=Successful%20exploitation%20could%3A
Fuentes:
https://unaaldia.hispasec.com/2025/05/vulnerabilidad-critica-en-tesla-model-3-a-traves-del-tpms.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.