El evento Pwn2Own Automotive 2025, celebrado en la conferencia Automotive World en Tokio, ha concluido con importantes revelaciones sobre la seguridad en los sistemas de infoentretenimiento automotriz, estaciones de carga de vehículos eléctricos y plataformas operativas utilizadas en la industria. Durante tres días de competencia, se expusieron 49 vulnerabilidades del tipo 0-day, es decir, fallos previamente desconocidos, que afectan directamente a la infraestructura tecnológica del sector automotor.

En esta edición del Pwn2Own Automotive 2025 se destacó la el gran trabajo y sobre todo la capacidad de los participantes para explotar estas vulnerabilidades en dispositivos que ejecutaban el firmware y los sistemas operativos más recientes, con todas las actualizaciones aplicadas y configuraciones predeterminadas.

Premios y participantes más exitosos

Para quienes desconocen del Pwn2Own Automotive, deben saber que esta no solo es una competencia de conocimientos y habilidades, ya que en la competencia se otorgan diferentes cantidades de premios a los investigadores que lograron demostrar con éxito sus exploits. Durante esta edición 2025 se pagó un total de $886,000 dólares en premios, siendo la competidora Sina Kheirkhah mas destacada al obtener $222,000 dólares por sus descubrimientos. El equipo Synacktiv, que ocupó el segundo lugar, recibió $147,000 dólares, mientras que PHP Hooligans, en tercera posición, obtuvo $110,000 dólares.

Ataques más relevantes

Durante la competencia, se ejecutaron múltiples ataques exitosos en distintos dispositivos y plataformas, abarcando tanto sistemas de infoentretenimiento como estaciones de carga para vehículos eléctricos. Entre los más notables en los sistemas de infoentretenimiento, se incluyen:

• Automotive Grade Linux: Un exploit exitoso permitió comprometer un entorno basado en Automotive Grade Linux, plataforma ampliamente utilizada en la industria, con un premio de 33,500 dólares.
• Alpine iLX-507: Nueve ataques distintos lograron explotar vulnerabilidades en este sistema, con un total de $20,000 otorgados. Se identificaron exploits de desbordamiento de buffer, sustitución de comandos, errores de verificación de certificados y recorrido de ruta de archivo. Llama la atención que tres de estos ataques aprovecharon una vulnerabilidad ya reportada en la edición anterior de la competencia, lo que sugiere que los fabricantes aún no han corregido ciertos problemas de seguridad detectados hace un año.
• Sony XAV-AX8500: Se llevaron a cabo cinco hackeos exitosos, con recompensas que totalizaron $20,000. Las vulnerabilidades incluyeron desbordamiento de enteros, omisión de autenticación, sustitución de comandos y desbordamiento de buffer.
• Kenwood DMX958XR: Ocho ataques lograron comprometer este sistema, con pagos de hasta $20,000 para los participantes. Se explotaron fallos en la sustitución de comandos en el sistema operativo, además de errores de desbordamiento de buffer y vulnerabilidades ya conocidas.

Estaciones de carga para vehículos eléctricos

Uno de los hallazgos más alarmantes de la competencia fue la cantidad de vulnerabilidades encontradas en estaciones de carga de vehículos eléctricos, las cuales podrían representar un riesgo significativo si son explotadas en entornos reales.

• Phoenix Contact CHARX SEC-3150: se lograron demostrar tres ataques exitosos, con un pago total de $91,750. Se descubrió un exploit que combinaba tres errores encadenados, lo que permitió tomar control del sistema.
• ChargePoint Home Flex: Tres hackeos exitosos con premios de hasta $47,500. Se identificaron desbordamientos de buffer y exploits contra el protocolo OCPP, clave en la comunicación entre estaciones de carga y la red eléctrica.
• Ubiquiti Connect EV Station: Dos ataques permitieron explotar una clave criptográfica dejada en el firmware, obteniendo recompensas de $50,000 y $26,750.
• Tesla Wall Connector: siendo uno de los más afectados, se demostró un total de cinco hackeos exitosos, con pagos que alcanzaron los $50,000. Estos exploits podrían representar un riesgo grave para los propietarios de vehículos eléctricos Tesla, ya que permitirían ataques a la infraestructura de carga.
• Autel MaxiCharger AC Wallbox: Cuatro ataques exitosos con premios de hasta $50,000. Las vulnerabilidades detectadas incluyeron desbordamientos de buffer, lo que podría comprometer la seguridad y funcionalidad del dispositivo.

En cuanto a los ataques demostrados y siguiendo las reglas del concurso, cabe mencionar que los detalles técnicos de las vulnerabilidades detectadas no se harán públicos hasta dentro de 90 días, tiempo en el que los fabricantes podrán desarrollar y lanzar parches de seguridad para corregir los fallos.

Finalmente si estás interesado en poder conocer mas al respecto, puedes consultar los detalles en el siguiente enlace.