Ekoparty 2025: descubren una falla en alarmas genéricas de autos que permite abrir miles de vehículos

Un investigador de seguridad automotriz demostró cómo vulnerar el sistema de cierre remoto de autos equipados con alarmas aftermarket, esto es, aquellas que no vienen instaladas de fábrica, sino que se compran e instalan por separado en talleres mecánicos. Ocurrió durante el segundo día de Ekoparty, la conferencia de hackers que se desarrolla esta semana en el Centro de Convenciones Buenos Aires.

La vulnerabilidad permite capturar el código que abre el vehículo y clonar la señal de desbloqueo de puertas con muy poca información, explicó en su charla el hacker ecuatoriano Danilo Erazo. El mismo algoritmo defectuoso se repite en dispositivos vendidos en todo el mundo, por lo que la vulnerabilidad “afecta a miles de vehículos que usan estos sistemas”, dijo en la sala principal de la convención.

La mayoría de los autos nuevos ya traen sistemas de cierre remoto y alarma de fábrica, integrados al vehículo. Pero hay un mercado considerable en autos que, al no venir con sistemas de fábrica, implementan estas soluciones (sea porque son viejos o por casos de reposiciones o mercados de bajo costo).

La vulnerabilidad se encuentra en lo que se conoce como RKES (Remote Keyless Entry System): “Es lo que conocemos como la alarma del auto para poder desbloquear el vehículo remotamente con el control. Una de las tecnologías más comunes que funciona detrás de esto se conoce como rolling code o códigos rotativos, los cuales tienen un solo uso”. Es decir, cada vez que se aprieta el control, el sistema genera un nuevo código para evitar que alguien lo copie y lo use para acceder a un auto, explica Erazo, que habló con Clarín antes de su presentación.

Al encontrar este problema, Erazo lo reportó a la Automotive Security Research Group (ASRG), una organización sin fines de lucro que promueve el desarrollo seguro de tecnologías de vehículos de uso masivo.

Sin embargo, contó por qué es difícil que el problema se solucione: “Reporté las vulnerabilidades para que las tengan en cuenta, pero debido a que este algoritmo es fabricado por vendedores chinos, no dan muchos detalles ni tienen FCC-ID [un código de identificación único que deben tener todos los dispositivos electrónicos que emiten radiofrecuencia]. Por eso, di a conocer la vulnerabilidad en esta charla”, aclaró a este medio.

El problema tiene un alcance amplio: “Descubrí que el mismo algoritmo es usado por varios fabricantes chinos y estas alarmas son vendidas en todo el mundo, ya sea por internet, en comercios de autopartes, etc. En la Ekoparty mostré las pruebas de concepto, en donde logré abrir varios autos explotando las vulnerabilidades descubiertas”.

Danilo Erazo es un investigador de seguridad automotriz independiente, que ya encontró y reportó vulnerabilidades críticas a empresas como Huawei, KIA y Suzuki Motor, entre otras.

Las vulnerabilidades en autos no son poco frecuentes: en agosto de este año, dos investigadores argentinos presentaron en Black Hat, una de las conferencias de hackers más grandes del mundo, un dispositivo para acceder a información interna de vehículos (EvilDoggie) y poder entender mejor sus protocolos y medidas de seguridad.

La apertura de las charlas principales del segundo día de Ekoparty 2025 estuvo a cargo del investigador brasileño Bruno Moreira, quien habló de deepfakes, esto es, imágenes y videos falsos creados con inteligencia artificial.

El hacker, que trabaja en el equipo de Red Bull, mostró cómo esta tecnología, que “fue creada originalmente para el entretenimiento, se transformó en una herramienta clave del fraude digital”. A partir de conversaciones reales con estafadores, la compra de herramientas clandestinas y cursos ilegales, exhibió cómo los atacantes utilizan en la actualidad videos y audios falsificados para vulnerar plataformas como Microsoft Teams, Google Meet, Facebook Messenger y WhatsApp.

Y advirtió que los engaños apuntan a cuentas personales individuales, pero por sobre todo, a víctimas corporativas: las empresas son un blanco de ataque más interesante para los atacantes.

Con ejemplos en vivo, el expositor demostró lo simple que resulta manipular una identidad y engañar a usuarios y a sistemas de verificación facial, lo cual siempre se planteó como una forma de probar la identidad online más segura. Entre imitaciones de figuras como Mr. Bean, Vladimir Putin y Jackie Chan, el mensaje fue claro: “El fraude digital basado en inteligencia artificial ya está entre nosotros, y las empresas no están preparadas para enfrentarlo”, sentenció.

La charla cerró con una advertencia sobre cómo estas técnicas se combinan con tácticas de ingeniería social y vulnerabilidades reales descubiertas en gigantes tecnológicos, marcando un nuevo capítulo en la evolución de las amenazas cibernéticas.

Uno de los componentes fundamentales de Ekoparty son las villages o aldeas, espacios específicos donde se explotan distintas áreas de la ciberseguridad. La villa estrella fue la Freedom Village, que trajo al conferencista principal, Roger Dingledine, uno de los fundadores de Tor, que habló en la apertura de la convención este miércoles.

Entre las más populares estuvo, como todos los años, la “Bug Bounty Village”, una de las más grandes, donde se reúnen cazadores de vulnerabilidades que recolectan recompensas por las fallas que encuentran y, sobre el final del evento, reparten premios y reconocimientos.

Uno de los espacios que más curiosidad despertó fue Meshtastic Argentina, “un sistema alternativo para comunicarse que no depende de ninguna empresa de telecomunicaciones”, explicó Teno a Clarín, uno de los organizadores del espacio.

“En Bahía Blanca, por ejemplo, estamos haciendo un sistema de emergencia que, al ser independiente de empresas privadas, puede ser crucial en casos de emergencias como las inundaciones. La última vez, las inundaciones causaron problemas en los grupos electrógenos y esto hizo imposible la comunicación por redes móviles. Meshtastic puede funcionar como una red alternativa”, siguió.

“Además, es altamente privado y muy resistente a interferencias. Es una red libre de radiofrecuencia, descentralizada y con un cifrado equivalente al de Signal, motivo por el cual cualquier miembro activo es miembro expansor de esta malla de comunicaciones”, agrega. Muchos asistentes se acercaron a entender este protocolo de comunicación, que usa dispositivos dedicados para poder conectarse.

También estuvieron presentes los espacios rojo y azul, dedicados a simular ataques y a defender sistemas.: los que simulan ataques y quienes defienden sistemas. “Se presentó un framework de IA generativa para enriquecer escenarios y algunas competencias no tradicionales, como tener que hacer un código QR a mano”, contó Javier Antúnez, uno de los coordinadores del Red team Space. El BlueSpace organizó “charlas, competiciones y hasta un rosco tipo pasapalabra de ciberseguridad”, contó Gabriela Nicolao, una de las organizadoras del espacio.

La “Quantum Village” fue una de las rarezas del evento: se mostró una demostración de computadora cuántica a cargo de Carlos Benítez, ingeniero y magíster de la Universidad Tecnológica Nacional (UTN).

Y este año debutaron nuevos espacios: Malware Village (virus), Apple Red Team Village (vulnerabilidades de Apple), OWASP (una fundación sin fines de lucro de seguridad de software), Adversary Village, Web3 y Bug Bounty Girls Club, un espacio femenino de caza de vulnerabilidades.

“Son muchas las chicas que quieren aprender Bug Bounty, o que saben un poquito y no se animan a seguir. Es un proceso muy frustrante a veces. El hecho de que el club sea solo de mujeres habilita más confianza y solidaridad a la hora de compartir, de hablarle a alguien en el chat o de juntarse en un evento”, explicó a este medio Montserrat Patiño, una de las organizadoras del espacio.

Finalmente, el espacio de “talento hacker” fue de los más concurridos, en tanto nuclea tres espacios: Futuro Hacker (formación en escuelas), Hackademy (cursos y formación) y Ekojobs (entrevistas laborales).

“También tuvimos ‘talent talks’, donde hablamos sobre cómo empezar y hackear tu carrera en ciberseguridad, cómo aprovechar el lado (oscuro) humano del hacker para trabajar en ciber y cómo hacer para trabajar de tu pasión para no quemarte en el camino”, contó Daniela Valor, Directora de Talento de Ekoparty.