Un popular localizador GPS para automóviles fabricado en China y utilizado por personas, organismos gubernamentales y empresas de 169 países tiene vulnerabilidades graves de software, lo que supone un peligro potencial para la vida y la integridad física, la seguridad nacional y las cadenas de suministro, advirtieron investigadores de ciberseguridad de Estados Unidos.
Un informe de la firma de ciberseguridad BitSight, con sede en Boston, dice que las fallas podrían permitir a los atacantes secuestrar de forma remota vehículos equipados con esos dispositivos, al grado de poder cortarles el suministro del tanque de combustible y tomar el control mientras están andando.
Los investigadores recomendaron a los usuarios que desactiven inmediatamente el rastreador MV720 hasta que haya una solución disponible. El informe se publicó el martes junto con una advertencia de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés), que enumera cinco vulnerabilidades.
BitSight dijo que desde hace meses ha intentado infructuosamente de involucrar al fabricante —MiCODUS, con sede en Shenzen— en una discusión sobre las vulnerabilidades. Dijo que lo ha intentado desde septiembre del año pasado y que la CISA se unió a fines de abril.
The Associated Press llamó por teléfono y envió un correo electrónico a la empresa, pero no obtuvo respuesta. Una persona que respondió a un número de teléfono que figura en su sitio web no pudo responder en inglés.
En un comunicado, CISA sostiene que no está al tanto de “ninguna explotación activa” de las vulnerabilidades.
Los rastreadores GPS se utilizan en todo el mundo para monitorear flotillas de vehículos, desde camiones hasta autobuses escolares y vehículos militares, incluso para protegerlos contra robos.
Además de recopilar datos sobre la ubicación del vehículo, también pueden monitorear otras métricas, como el comportamiento del conductor y el uso de combustible. A través del acceso remoto, muchos están cableados de manera que pueden cortar el combustible o la alarma de un vehículo, bloquear o desbloquear sus puertas y más.
Usando el MV720, que según BitSight cuesta menos de US$ 25 por unidad, un usuario malintencionado podría cortar de forma remota el suministro de combustible de un vehículo en movimiento, conocer la ubicación en tiempo real de un vehículo con fines de espionaje o interceptar y manipular la ubicación u otros datos para sabotear operaciones, alertó el investigador principal de BitSight en el proyecto, Pedro Umbelino.