A Vulnerabilidad encontrada en motos de Zero Motorcycles permite acceso remoto al sistemasegún el análisis de un equipo de investigadores de ciberseguridad que también encontraron defectos similares en los patinetes eléctricos del fabricante chino Yadea. La noticia, recogida por los medios internacionales del sector, pone en el punto de mira la conectividad de las motos eléctricas: ya no hablamos sólo de autonomía o par, sino también de quién puede entrar en el software de tu moto sin tu permiso.

¿Qué encontraron exactamente los investigadores?

El hallazgo se refiere al sistema de comunicación entre la moto y la aplicación móvil oficial. En el caso de Zero Motorcycles el problema radica en la forma en que se autentican las solicitudes que viajan entre el teléfono del propietario y los servidores de la marca. Los investigadores demostraron que explotando este defecto, esto era posible. obtenga datos de ubicación, telemetría y estado de la batería desde cualquier bicicleta Zero conectada sin necesidad de credenciales del legítimo titular.

En el caso de Yadea, fabricante chino cada vez más presente en Europa con patinetes eléctricos urbanos, los problemas detectados son de naturaleza similar pero de mayor alcance. Según el informe, en algunos modelos incluso era posible enviar comandos al vehículo, lo que, en un scooter conectado, puede provocar un bloqueo o desbloqueo remoto no autorizado. Zero Motorcycles, fundada en California en 2006, es uno de los nombres más conocidos del segmento eléctrico premium, con modelos como la SR/F y la DSR/X ya disponibles en la red oficial española.

Ambas marcas lo confirmaron. Trabajan en parches de software para subsanar las lagunas encontradas. Zero Motorcycles ha indicado que los propietarios recibirán la actualización vía OTA (por el aireactualización inalámbrica que se descarga directamente en el sistema de la moto sin necesidad de acudir al taller) una vez validado. Aún no se ha publicado un calendario exacto.

Porque esto es importante para el ciclista, incluso si no tienes una Zero

La conectividad llegó para quedarse. Las motos modernas, eléctricas o de gasolina, cuentan cada vez más con unidades de control conectadas: IMU (unidades de medida inerciales), módems integrados, sistemas de telemetría que envían datos al fabricante, apps que muestran el nivel de carga y la última posición de la moto en el aparcamiento. Todo esto, técnicamente, es una superficie de ataque.

El caso de Zero Motorcycles no es el primero ni será el último. En la industria automotriz, el problema ha sido grave desde hace una década, con fallos finales y retiros masivos relacionados con fallas de ciberseguridad. En moto vamos por detrás, porque la conectividad llegó después, pero El patrón se está repitiendo a un ritmo acelerado en los últimos dos años.. La Comisión Europea ya está impulsando el Reglamento CEPE R155, que obliga a los fabricantes de vehículos a implementar un sistema de gestión de ciberseguridad certificado. La solicitud de motocicletas se está cerrando.

Lo relevante para el motociclista medio es saber esto. una actualización OTA pendiente no es opcional por motivos de seguridad. Si tu bicicleta te avisa de una actualización de firmware, iníciala lo antes posible, preferiblemente con la bicicleta conectada a la corriente y con buena cobertura. No es como instalar una app: aquí hablamos del software que controla el acelerador, la regeneración o el bloqueo del manillar.

Ciberseguridad en motos: qué está cambiando y qué hay que hacer

El precedente más conocido en la industria automotriz es el caso del Jeep Cherokee de 2015, cuando dos investigadores tomaron el control remoto de un automóvil en movimiento y obligaron a Fiat Chrysler a retirar 1,4 millones de unidades. Ese episodio cambió las reglas. Esto sucedió en los automóviles; Ahora es el turno de las motos eléctricas conectadas, que comparten la misma arquitectura de software y, a menudo, los mismos errores de diseño a nivel de autenticación.

La diferencia es que en una moto el riesgo de un mando dañino está dirigido a la integridad física del conductor. El robo de su ubicación GPS (grave, pero manejable) no es lo mismo que que un actor remoto altere el comportamiento de su control de tracción o frenado regenerativo. Por eso la respuesta de Zero, que se apresuró a preparar el parche, es la correcta. La DGT aún no ha decidido si exigirá un registro específico de los incidentes de ciberseguridad en los vehículos, pero la tendencia europea va en esta dirección.

Mi lectura: las motocicletas conectadas son bienvenidas, pero los fabricantes deben resolver esto Vender una moto eléctrica conectada requiere el mismo nivel de verificación de software que un coche premium. Lo que está en juego no es la aplicación, sino la bicicleta. Y en un futuro próximo veremos si la regulación europea llega con la fuerza esperada o si, como ha ocurrido con otras regulaciones, llegará tarde a un mercado que ya tendrá que estar maduro por sí solo.

Tu mecánico de confianza

• Se recomienda acción inmediata: Si tienes un scooter Zero Motorcycles o Yadea con conectividad, abre la app oficial y comprueba si hay alguna actualización pendiente. Arranca con la moto conectada y la batería al menos al 50%.
• Buenas practicas contables: Cambie la contraseña de la aplicación del fabricante si no la ha tocado en más de un año, habilite la verificación en dos pasos si la marca la ofrece y verifique qué dispositivos tienen acceso conectado.
• Curiosidad histórica: El primer hackeo documentado de un vehículo conectado en la carretera fue el Jeep Cherokee en 2015, lo que obligó al primer retiro masivo por razones de ciberseguridad en la historia del automóvil. Las motocicletas ahora están entrando en la misma curva de aprendizaje.