Tesla presume de ir a la vanguardia del coche conectado, pero cada nueva vulnerabilidad descubierta en sus sistemas demuestra que no basta con ser el primero: también hay que ser el más cuidadoso. El último fallo de seguridad descubierto en el Model 3 no solo permitía la ejecución remota de código, sino que dejaba abiertas puertas peligrosas a funciones esenciales del vehículo, desde los frenos hasta la dirección. Un recordatorio inquietante de que, cuando un coche se convierte en un dispositivo conectado, también hereda todos sus riesgos.
La última advertencia ha llegado desde el concurso Pwn2Own 2025, donde el equipo de seguridad de Synacktiv reveló una vulnerabilidad crítica en el sistema VCSEC del Tesla Model 3. Aprovechando una brecha en el sistema de monitorización de presión de neumáticos (TPMS), los investigadores consiguieron ejecutar código malicioso de forma remota, sin necesidad de autenticación, siempre que se encontraran dentro del alcance de Bluetooth o Wi-Fi.
El fallo, identificado como CVE-2025-2082, afecta a las versiones anteriores al firmware 2024.14. Su origen reside en un desbordamiento de enteros dentro del módulo VCSEC, que se encarga de gestionar comunicaciones y aspectos de seguridad del vehículo. Manipulando respuestas del sistema TPMS, los atacantes podían desencadenar corrupción de memoria y tomar el control del VCSEC, lo que en la práctica les daba acceso al CAN bus del vehículo: el canal que controla funciones críticas como el frenado, la aceleración o la dirección.
El impacto potencial era grave. Un atacante con conocimientos suficientes podría haber desactivado airbags, manipulado los sistemas de alerta de colisión o incluso interferido en la conducción. Synacktiv fue clara: esto no es un problema estético ni un fallo menor. Se trata de un punto de entrada directo a los sistemas neurálgicos del vehículo. Por suerte, no se tiene constancia de que la vulnerabilidad haya sido explotada en escenarios reales.

Tesla publicó un parche silencioso en octubre de 2024, con la versión de firmware 2024.14, y siguió su protocolo habitual de actualizaciones. La divulgación pública se ha producido ahora, tras completarse el proceso coordinado con los investigadores. Los propietarios pueden instalar la actualización desde la pantalla del vehículo, y quienes tengan activadas las actualizaciones automáticas probablemente ya estén protegidos.
Desde Synacktiv, las recomendaciones son claras: actualizar de inmediato, evitar conexiones a redes Wi-Fi públicas y mantener activadas las notificaciones de seguridad. Pero más allá de estas pautas, el caso vuelve a poner sobre la mesa una cuestión cada vez más urgente: ¿están realmente preparadas las marcas para proteger vehículos cada vez más definidos por su software?
Tesla, como líder en movilidad inteligente, tiene una responsabilidad añadida. Su apuesta por el coche conectado ha marcado el camino para buena parte de la industria, pero también la obliga a tomar la delantera en lo que respecta a ciberseguridad. Un fallo como este no debería haberse producido, y mucho menos haber pasado desapercibido ¡y haber sido ocultado! durante tanto tiempo. La conectividad no puede convertirse en una puerta trasera abierta a los atacantes.
 
Más información
La entrada ¿Tienes un Tesla Model 3? Podrían haberte hackeado se publicó primero en MuyComputer.