la vulnerabilidad de carplay que pone en riesgo a millones de conductores

La vulnerabilidad de CarPlay que pone en riesgo a millones de conductores

PorBlanca González

Hace unos días saltó una noticia que debería preocuparnos a todos los que utilizamos tecnología en nuestros coches: investigadores de ciberseguridad han descubierto una vulnerabilidad en CarPlay de Apple que permite a atacantes tomar el control remotamente del sistema de infoentretenimiento del vehículo. Y no, no es ciencia ficción ni una película de hackers.

Un agujero de seguridad preocupante en nuestros coches conectados

La firma de seguridad Oligo ha revelado detalles sobre una vulnerabilidad crítica que afecta al protocolo AirPlay de Apple y su SDK correspondiente. ¿Y qué tiene esto que ver con tu móvil y tu coche? Prácticamente todo.

El problema radica en que CarPlay, ese sistema que nos permite conectar nuestro smartphone al coche para usar apps, navegar o controlar la música, está expuesto a un ataque que los investigadores han denominado «AirBorne». Lo más alarmante es que este ataque puede ejecutarse sin interacción del usuario —lo que llamamos «zero-click»— y, una vez dentro, el atacante puede saltar a otros dispositivos.

Cómo funciona exactamente el ataque

La vulnerabilidad (catalogada como CVE-2025-24132) puede explotarse de varias formas:

  • Ataque por cable: conectándose físicamente al sistema CarPlay mediante USB.
  • Ataque inalámbrico por WiFi: aprovechando que muchos fabricantes usan contraseñas predeterminadas.
  • Ataque por Bluetooth: el más preocupante, ya que el atacante sólo necesita estar en el rango de alcance.

Lo que hace este último método especialmente peligroso es que se basa en una debilidad del protocolo iAP2 que utiliza CarPlay. Este protocolo tiene un problema de diseño fundamental: mientras que el teléfono verifica que está hablando con un sistema legítimo del coche, el sistema del coche no verifica que está hablando con un teléfono auténtico.

Es como si tu casa comprobara la identidad de todos los que entran, pero la puerta trasera dejara entrar a cualquiera que diga «soy yo». Increíble, pero así está diseñado.

Consecuencias reales para los conductores

Una vez que el atacante consigue acceso, puede:

  1. Tomar el control de la pantalla para mostrar imágenes o reproducir audio que distraiga al conductor.
  2. Escuchar conversaciones dentro del vehículo, convirtiendo el sistema en un dispositivo de espionaje.
  3. Rastrear la ubicación del vehículo en tiempo real.

Para que entendamos la gravedad: imagina estar conduciendo a 120 km/h por autovía cuando, de repente, tu pantalla de navegación se apaga y es reemplazada por una imagen o un vídeo diseñado para distraerte. Las consecuencias podrían ser fatales.

El problema del parcheo en sistemas automovilísticos

Apple corrigió la vulnerabilidad CVE-2025-24132 a finales de abril de 2025, pero aquí viene el verdadero desafío: pocos fabricantes han integrado el parche en sus productos y, según Oligo, no se tiene constancia de que ningún fabricante de automóviles lo haya aplicado todavía.

¿Por qué? Porque el proceso es extremadamente complejo:

  1. Cada fabricante debe adaptar, probar y validar el parche para sus propios sistemas.
  2. Esto implica coordinación entre proveedores de unidades centrales, equipos de software internos y, a veces, proveedores de middleware.
  3. Cada paso introduce posibles retrasos y requiere una colaboración robusta.

El resultado es lo que los expertos llaman «una larga cola de exposición». Mientras que los modelos de alta gama con sistemas OTA (actualización por aire) robustos pueden recibir el parche rápidamente, muchos otros tardan meses, años o nunca reciben la actualización. Millones de vehículos quedan expuestos mucho después de que existe una solución «oficial».

La brecha creciente entre smartphones y automóviles

Este incidente pone de manifiesto un problema fundamental: nuestros coches se están convirtiendo en dispositivos Android o iOS rodantes, pero sin la cultura de seguridad y actualizaciones que tenemos en nuestros teléfonos.

Cuando aparece una vulnerabilidad crítica en un smartphone, la mayoría recibimos una actualización en días o semanas. En cambio, nuestros coches —que son potencialmente mucho más peligrosos si algo sale mal— tienen ciclos de actualización que pueden durar años.

Lo irónico es que mientras que nuestro móvil está protegido, ese mismo dispositivo puede convertirse en vector de ataque contra el vehículo conectado. Es como tener una casa con cerraduras de última generación pero dejar la llave bajo el felpudo.

¿Qué podemos hacer mientras tanto?

Aunque no podamos forzar a los fabricantes a implementar el parche más rápido, sí podemos tomar algunas precauciones:

  1. Desactiva CarPlay inalámbrico cuando no lo necesites.
  2. Si tu sistema lo permite, cambia las contraseñas WiFi predeterminadas.
  3. Mantente atento a posibles actualizaciones de tu vehículo y no las pospongas.

La verdad es que como usuarios estamos algo atados de manos. La industria automovilística necesita adoptar urgentemente ciclos de actualización más ágiles, similares a los que tenemos en nuestros smartphones, especialmente cuando los sistemas están tan interconectados.

El futuro de la seguridad en vehículos conectados

Este incidente debería servir como llamada de atención. A medida que nuestros coches se vuelven más inteligentes y conectados, los ataques como este serán más frecuentes y potencialmente más dañinos.

La buena noticia es que ya existen soluciones técnicas. La mala es que el ecosistema automotriz es notoriamente lento para implementarlas. Estamos ante una carrera: por un lado, la integración de tecnologías móviles en vehículos avanza a toda velocidad; por otro, las prácticas de seguridad y actualización avanzan al ritmo de un vehículo en hora punta.

Quien gane esta carrera determinará si en el futuro nos sentiremos seguros o vulnerables cada vez que conectemos nuestro smartphone al coche.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *