Un adolescente alemán de 19 años ha saltado a los medios de todo el mundo tras haber compartido un hilo en su perfil de Twitter en el que afirma haber hackeado 25 coches Tesla en 13 países de Europa y América del Norte.
El joven se llama David Colombo, se describe a sí mismo como especialista en tecnología de la información y hacker, y su hilo se ha convertido en viral, acumulando más de 6.600 reacciones y generando una enorme repercusión.
Colombo comenzó su cadena de mensajes el pasado lunes, 10 de enero, asegurando que había obtenido el "control remoto completo" de más de 20 vehículos Tesla en 10 países, aunque posteriormente elevó la cifra a más de 25 Tesla en 13 países. Según señaló, podía ejecutar diversas acciones en los coches comprometidos sin el conocimiento de sus propietarios, que incluyen abrir sus puertas y ventanas, encender las luces e incluso iniciar la conducción sin llave. También indicó que podía consultar la ubicación exacta de los vehículos, verificar si el conductor está presente o reproducir música en el sistema de sonido de Tesla.
"Creo que es bastante peligroso si alguien puede reproducir música a todo volumen de forma remota o abrir las ventanas/puertas mientras estás en la carretera. Incluso encender las luces sin parar puede tener un impacto (peligroso) en otros conductores", escribió en Twitter, donde también aclaró que el "control remoto completo" no implica poder controlar de forma remota la dirección o la aceleración y el frenado.
"Sí, potencialmente podría desbloquear las puertas y comenzar a conducir los Tesla afectados. No, no puedo intervenir con alguien que conduce (aparte de poner música al máximo volumen o luces intermitentes) y tampoco puedo conducir estos Tesla de forma remota", precisó.
Lo que se sabe de esta vulnerabilidad, que Tesla está investigando
Según informa Bloomberg, Colombo trabaja como investigador de ciberseguridad y descubrió el fallo de seguridad en el sistema de los vehículos de Tesla de forma casual mientras realizaba una auditoría para una empresa francesa. El joven, que se autodenomina fanático de Tesla, advirtió la presencia de un programa de software en la dicha empresa francesa que contenía los datos del vehículo Tesla de su jefe de tecnología, incluidos su historial de localizaciones y su ubicación exacta en ese momento.
Tras este hallazgo, se puso a investigar y asegura que los más de 25 vehículos que él pirateó no eran los únicos vulnerables a este hackeo, sino que podría haber cientos más.
Colombo trató de identificar a los propietarios de los coches que fueron víctima de su ataque para informarles del problema, según indica en su primer mensaje de Twitter. Pero asegura que le fue imposible y que no se trata de una vulnerabilidad en la infraestructura de Tesla sino de un error de los dueños de los vehículos, por lo que es importante notificárselo.
En su hilo, también explica que se puso con el equipo de seguridad de Tesla para informarle del problema y que le confirmaron que lo iban a investigar y le mantendrían informado. En este sentido, cabe señalar que la empresa de Elon Musk anima a los investigadores de seguridad a buscar vulnerabilidades en sus productos a través de un programa de recompensas que paga hasta 15.000 dólares por un fallo de seguridad calificado.
Por el momento, Tesla no ha compartido ningún detalle sobre su investigación pero Colombo sigue muy activo en Twitter y ha demostrado que pudo activar la conducción sin llave en los vehículos que hackeo porque ya no solicita contraseña. Además, ha señalado que le encantaría ver a Tesla implementar diferentes alcances de token de acceso API: uno de ámbito de solo lectura, otro de ámbito no crítico (calefacción del asiento, etc.) y otro de ámbito crítico (desbloqueo de puertas, inicio de la conducción sin llave, etc.)