CISA advierte sobre fallas de control remoto en los rastreadores GPS SinoTrack

Los propietarios de dispositivos GPS SinoTrack deben estar al tanto de importantes vulnerabilidades de seguridad que podrían permitir a personas no autorizadas rastrear vehículos o incluso cortarles el suministro de combustible de forma remota. Estas vulnerabilidades, que afectan a todos los dispositivos SinoTrack conocidos y a la plataforma SinoTrack IoT PC, fueron descubiertas recientemente por el investigador independiente Raúl Ignacio Cruz Jiménez. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta sobre estos problemas.

Se han identificado dos problemas principales. El primero, denominado CVE-2025-5484 , es una vulnerabilidad de autenticación débil, lo que dificulta el acceso al sistema de administración del dispositivo. Cada dispositivo utiliza su identificador único, impreso en el receptor como nombre de usuario.

Lo más preocupante es que la contraseña predeterminada es ampliamente conocida y es la misma para todos los dispositivos. Los usuarios no están obligados a cambiarla al configurar sus dispositivos, lo que facilita que un atacante la adivine. Un atacante podría encontrar los identificadores del dispositivo simplemente observando el dispositivo o buscando imágenes de dispositivos en línea, por ejemplo, en sitios web como eBay.

El segundo problema, CVE-2025-5485 , es una discrepancia observable en las respuestas. Esta falla se relaciona con la estructura de los nombres de usuario; son identificadores numéricos de hasta 10 dígitos. Esto permite que actores maliciosos adivinen nombres de usuario válidos simplemente probando diferentes secuencias numéricas, ya sea contando hacia arriba o hacia abajo a partir de identificadores conocidos o probando números aleatorios.

Si tiene éxito, un atacante podría obtener el control de los vehículos conectados, potencialmente rastreando su paradero o incluso cortando la energía a la bomba de combustible donde esté disponible.

Estas vulnerabilidades se consideran muy graves, y una de ellas, CVE-2025-5485, obtuvo una puntuación de 8,8 en CVSS v4. Hasta el momento, CISA no ha recibido informes de que estas vulnerabilidades específicas se estén explotando activamente en ataques públicos.

SinoTrack aún no ha respondido a las solicitudes de información de CISA ni ha proporcionado soluciones para estos problemas. Por lo tanto, se recomienda encarecidamente a los usuarios que tomen medidas inmediatas para proteger sus dispositivos. El paso más importante es cambiar la contraseña predeterminada a una segura y única a través de la interfaz de administración disponible en sinotrack.com .

Además, es importante ocultar el identificador del dispositivo. Si la pegatina con el identificador es visible en alguna foto pública, se recomienda eliminarla o reemplazarla para evitar que los atacantes encuentren esta información.

CISA también recomienda prácticas generales de ciberseguridad , como tener cuidado al hacer clic en enlaces de correos electrónicos sospechosos, para evitar riesgos adicionales. Encontrará orientación más detallada sobre la seguridad de los sistemas de control en el sitio web de CISA.