Redazione RHC : 18 agosto 2025 19:57
Un investigador de ciberseguridad ha descubierto que cientos de servidores TeslaMate en todo el mundo transmiten abiertamente datos de vehículos Tesla sin ninguna protección. Esto significa que la telemetría del vehículo, desde coordenadas y rutas precisas hasta hábitos del propietario e incluso horarios de carga, ha quedado expuesta al público.
TeslaMate es una popular herramienta de código abierto que se conecta a la API oficial de Tesla y recopila información detallada sobre el vehículo. El sistema registra datos de GPS, estado de la batería, historial de viajes, lecturas de temperatura del habitáculo y otros parámetros. Para mostrar las estadísticas, se utiliza una combinación de una interfaz web en el puerto 4000 y un panel de Grafana en el puerto 3000. Sin embargo, por defecto, la aplicación no requiere autenticación y se conecta automáticamente a todas las interfaces de red. Si se ejecuta en un servidor con una IP pública, toda la información está disponible para cualquier usuario de la red.
Mediante un análisis global de direcciones IPv4 en el puerto 4000 abierto, el investigador identificó aproximadamente 900 instalaciones de este tipo en varios continentes. Como resultado, personas ajenas tuvieron acceso a las rutas exactas de los propietarios, las coordenadas de los coches aparcados, las direcciones residenciales y los datos relacionados con su ausencia de sus ubicaciones habituales.
Gracias a los datos recopilados, fue posible obtener una visión completa de la vida cotidiana de los propietarios e incluso identificar sus periodos de vacaciones. Lo más alarmante es que, gracias a estos datos, los delincuentes pueden planificar robos o allanamientos con antelación, sabiendo cuándo los propietarios están fuera.
Para demostrar la magnitud del problema, el investigador lanzó el sitio web teslamap.io, que mapea todos los coches conectados a servidores TeslaMate sin protección. En algunas regiones, en particular en áreas metropolitanas de Norteamérica, Europa y Asia, estos problemas se agrupan y contienen numerosas instalaciones sin protección.
Los expertos recomiendan tomar medidas de protección inmediatas. Como mínimo, utilice un proxy inverso protegido con contraseña (por ejemplo, Nginx), restrinja el acceso solo al host local, configure las reglas de firewall adecuadas, cambie las credenciales predeterminadas de Grafana y, si es posible, bloquee el acceso al panel de control mediante VPN.
Los desarrolladores de TeslaMate han confirmado el problema y han prometido implementar la autenticación integrada «por defecto» en futuras versiones. Sin embargo, aunque cientos de instalaciones siguen funcionando sin protección, los datos confidenciales de los vehículos siguen estando disponibles públicamente. Esto resalta la relevancia del problema de la fuga de datos en el mundo actual.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
