Tesla presumeix d’anar a l’avantguarda del cotxe connectat, però cada nova vulnerabilitat descoberta en els seus sistemes demostra que no n’hi ha prou de ser el primer: també cal ser el més curós. L’última fallada de seguretat descoberta al Model 3 no només permetia l’execució remota de codi, sinó que deixava obertes portes perilloses a funcions essencials del vehicle, des dels frens fins a la direcció. Un recordatori inquietant que, quan un cotxe es converteix en un dispositiu connectat, també hereta tots els riscos.

L’últim advertiment ha arribat des del concurs Pwn2Own 2025, on l’equip de seguretat de Synacktiv va revelar una vulnerabilitat crítica al sistema VCSEC del Tesla Model 3. Aprofitant una bretxa al sistema de monitoratge de pressió de pneumàtics (TPMS), els investigadors van aconseguir executar codi maliciós de manera remota, sense necessitat d’autenticació, sempre que es trobin dins de l’abast de Bluetooth o wifi.

La decisió, identificada com a CVE-2025-2082, afecta les versions anteriors al microprogramari 2024.14. El seu origen resideix en un desbordament de sencers dins del mòdul VCSEC, que s’encarrega de gestionar comunicacions i aspectes de seguretat del vehicle. En manipular respostes del sistema TPMS, els atacants podrien desencadenar corrupció de memòria i prendre el control del VCSEC, cosa que a la pràctica els donava accés al CAN bus del vehicle: el canal que controla funcions crítiques com ara la frenada, l’acceleració o la direcció.

L’impacte potencial era greu. Un atacant amb coneixements suficients podria haver desactivat coixins de seguretat, manipulant els sistemes d’alerta de col·lisió o fins i tot interferit en la conducció. Synacktiv va ser clara: això no és un problema estètic ni una errada menor. És un punt d’entrada directe als sistemes neuràlgics del vehicle. Per sort, no es té constància que la vulnerabilitat hagi estat explotada a escenaris reals.

Tesla va publicar un pegat silenciós l’octubre de 2024, amb la versió de microprogramari 2024.14, i va seguir el seu protocol habitual d’actualitzacions. La divulgació pública ha tingut lloc ara, després de completar-se el procés coordinat amb els investigadors. Els propietaris poden instal·lar l’actualització des de la pantalla del vehicle, i els que tinguin activades les actualitzacions automàtiques probablement ja estaran protegits.

Des de Synacktiv, les recomanacions són clares: actualitzar immediatament, evitar connexions a xarxes wifi públiques i mantenir activades les notificacions de seguretat. Però més enllà d’aquestes pautes, el cas torna a posar sobre la taula una qüestió cada cop més urgent: estan realment preparades les marques per protegir vehicles cada cop més definits pel seu programari?

Tesla, com a líder en mobilitat intel·ligent, té una responsabilitat afegida. La seva aposta pel cotxe connectat ha marcat el camí per a bona part de la indústria, però també l’obliga a agafar la davantera pel que fa a la ciberseguretat. Un error com aquest no s’hauria d’haver produït, i encara menys haver passat desapercebut i haver estat ocultat durant tant de temps. La connectivitat no es pot convertir en una porta del darrere oberta als atacants.