Investigadores de ciberseguridad han identificado un conjunto de cuatro vulnerabilidades críticas en la pila Bluetooth BlueSDK de OpenSynergy, utilizadas ampliamente en sistemas de infoentretenimiento de vehículos modernos. Estas fallas, denominadas PerfektBlue, podrían permitir a atacantes ejecutar código de forma remota (RCE) en millones de automóviles de marcas reconocidas como Mercedes-Benz, Volkswagen y Skoda, así como otro fabricante OEM aún no revelado.
¿Qué es PerfektBlue y por qué es tan grave?
PerfektBlue es una cadena de explotación que combina corrupción de memoria y fallos lógicos para permitir la ejecución de código arbitrario en los sistemas IVI (In-Vehicle Infotainment). El ataque no requiere interacción compleja, solo que el atacante esté dentro del alcance de Bluetooth del vehículo y pueda iniciar un emparejamiento con el sistema de infoentretenimiento.
Según PCA Cyber Security (anteriormente PCAutomotive), estos fallos pueden explotarse con un solo clic, lo que convierte un ataque inalámbrico en una amenaza real para la seguridad de los vehículos modernos.
Vulnerabilidades identificadas en PerfektBlue
Las cuatro fallas publicadas, todas rastreadas bajo identificadores CVE, son:
-
CVE-2024-45434 (CVSS: 8.0): Uso después de la liberación en el servicio AVRCP
-
CVE-2024-45431 (CVSS: 3.5): Validación incorrecta del CID remoto de un canal L2CAP
-
CVE-2024-45433 (CVSS: 5.7): Terminación de función incorrecta en RFCOMM
-
CVE-2024-45432 (CVSS: 5.7): Llamada de función con parámetro incorrecto en RFCOMM
¿Qué podrían lograr los atacantes?
Una explotación exitosa permitiría a un atacante:
-
Acceder al sistema de navegación y rastreo GPS
-
Grabar audio desde el micrófono del vehículo
-
Ver y robar listas de contactos sincronizadas
-
Potencialmente realizar movimientos laterales hacia funciones críticas del automóvil, dependiendo de cómo esté segmentada la red interna
Alcance del ataque y vectores de explotación
La cadena de ataque PerfektBlue se ejecuta únicamente si el atacante puede emparejar su dispositivo con el sistema Bluetooth del automóvil. Sin embargo, esto depende de cómo esté implementado BlueSDK en cada vehículo:
-
Algunos sistemas permiten emparejamientos ilimitados o automáticos
-
Otros requieren interacción del usuario o PIN
-
En algunos modelos, el emparejamiento puede estar deshabilitado por defecto
Aunque el sistema IVI suele estar separado de funciones como frenos o dirección, el aislamiento interno de red puede ser insuficiente en algunos modelos, lo que abre la puerta a ataques avanzados de movimiento lateral.
Implicaciones para fabricantes y usuarios
Además de los tres fabricantes confirmados (Mercedes-Benz, Volkswagen y Skoda), hay un cuarto OEM afectado cuya identidad no se ha revelado. Los parches de seguridad para estas vulnerabilidades fueron lanzados en septiembre de 2024, tras su divulgación responsable en mayo del mismo año.

Declaración de Volkswagen
En respuesta a los hallazgos, Volkswagen aclaró que:
“No es posible intervenir en funciones críticas del vehículo, como dirección, motor o frenos. El problema está limitado al sistema de infoentretenimiento, y se han implementado actualizaciones de software correctivas”.
Además, detallaron que la explotación solo es posible si se cumplen simultáneamente estas condiciones:
-
El atacante está a menos de 7 metros del vehículo
-
El vehículo tiene el encendido activado
-
El sistema Bluetooth está en modo de emparejamiento
-
El usuario acepta manualmente la conexión desde el dispositivo atacante
Otras investigaciones relacionadas
No es la primera vez que se descubren fallas graves en sistemas automotrices modernos. En abril, PCA Cyber Security reveló cómo fue posible comprometer un vehículo Nissan Leaf eléctrico utilizando vulnerabilidades de Bluetooth para eludir el arranque seguro, establecer un canal C2 por DNS y tomar control de:
-
Cerraduras de puertas
-
Limpiaparabrisas
-
Dirección asistida
-
Y más, mediante acceso al bus CAN (Controller Area Network)
Este tipo de ataques, en los que un pequeño dispositivo encubierto es conectado físicamente al cableado CAN del automóvil, permite imitar mensajes legítimos de las ECUs, desbloqueando el vehículo sin la llave original. La técnica, similar a la usada por grupos de robo de automóviles organizados, recalca la necesidad de aislar las funciones críticas del vehículo del sistema de infoentretenimiento.
Recomendaciones de seguridad para fabricantes y usuarios
Para mitigar los riesgos de PerfektBlue:
Fabricantes deben:
-
Aplicar los parches de seguridad de BlueSDK provistos por OpenSynergy
-
Revisar la segmentación de red interna en sus arquitecturas
-
Deshabilitar funciones Bluetooth innecesarias en sistemas IVI
-
Validar que el sistema IVI no tenga acceso al bus CAN u otras ECUs críticas
Usuarios deben:
-
Aceptar solo conexiones Bluetooth de dispositivos conocidos
-
Revisar visualmente el proceso de emparejamiento y confirmar los códigos
-
Aplicar actualizaciones de software recomendadas por el fabricante
-
Visitar el taller si se les notifica una campaña de actualización
PerfektBlue se suma a una creciente lista de vulnerabilidades en la superficie de ataque de los automóviles modernos. Con el auge de los vehículos conectados, la ciberseguridad automotriz ya no es opcional, sino una necesidad crítica para garantizar la privacidad, integridad y seguridad física de los ocupantes.
Fuente: The Hacker News
