Una vulnerabilidad detectada en motos Zero Motorcycles permite el acceso remoto al sistema, según el análisis de un equipo de investigadores en ciberseguridad que también ha encontrado fallos similares en los scooters eléctricos del fabricante chino Yadea. La noticia, adelantada en medios internacionales del sector, coloca a la conectividad de las motos eléctricas bajo el foco: ya no hablamos solo de autonomía o par motor, también de quién puede entrar en el software de tu moto sin tu permiso.
Qué han encontrado exactamente los investigadores
El hallazgo afecta al sistema de comunicación entre la moto y la aplicación móvil oficial. En el caso de Zero Motorcycles, el problema reside en cómo se autentican las peticiones que viajan entre el teléfono del propietario y los servidores de la marca. Los investigadores demostraron que, explotando ese fallo, era posible obtener datos de localización, telemetría y estado de la batería de cualquier moto Zero conectada sin necesidad de credenciales del propietario legítimo.
En el caso de Yadea, fabricante chino con presencia creciente en Europa con scooters eléctricos urbanos, los problemas detectados son de naturaleza similar pero con un alcance mayor. Según el informe, en algunos modelos era posible incluso enviar comandos al vehículo, lo que en un escooter conectado puede traducirse en bloqueos o desbloqueos remotos no autorizados. Zero Motorcycles, fundada en California en 2006, es uno de los nombres más conocidos del segmento eléctrico premium, con modelos como la SR/F y la DSR/X ya disponibles en la red oficial española.
Ambas marcas han confirmado que están trabajando en parches de software para cerrar las brechas detectadas. Zero Motorcycles ha indicado que los propietarios recibirán la actualización vía OTA (over-the-air, actualización inalámbrica que se descarga directamente al sistema de la moto sin necesidad de pasar por el taller) en cuanto esté validada. No se ha publicado todavía un calendario exacto.
Por qué esto importa al motorista, aunque no tengas una Zero
La conectividad ha llegado para quedarse. Las motos modernas, eléctricas o de combustión, montan cada vez más unidades de control conectadas: IMU (unidad de medición inercial), módems integrados, sistemas de telemetría que mandan datos al fabricante, apps que enseñan el nivel de carga y la última posición de la moto en el aparcamiento. Todo eso, técnicamente, es una superficie de ataque.
El caso de Zero Motorcycles no es el primero ni será el último. En coches lleva ya una década siendo asunto serio, con sentencias firmes y retiradas masivas vinculadas a fallos de ciberseguridad. En motos vamos por detrás, porque la conectividad llegó después, pero el patrón se está repitiendo a velocidad acelerada en los últimos dos años. La Comisión Europea ya empuja con el Reglamento UNECE R155, que obliga a los fabricantes de vehículos a implementar un sistema de gestión de ciberseguridad certificado. La aplicación a motocicletas se está cerrando ahora.
Lo relevante para el motorista de a pie es saber que una actualización OTA pendiente no es opcional cuando viene por motivos de seguridad. Si tu moto te avisa de una actualización del firmware, lánzala en cuanto puedas, idealmente con la moto enchufada y con buena cobertura. No es como instalar una app: aquí estamos hablando del software que controla el acelerador, la regeneración o el bloqueo del manillar.
Ciberseguridad en moto: qué cambia y qué deberías hacer
El precedente más conocido en el sector del motor es el caso del Jeep Cherokee de 2015, cuando dos investigadores tomaron el control remoto de un coche en marcha y forzaron a Fiat Chrysler a llamar a revisión a 1,4 millones de unidades. Ese episodio cambió la regulación. Aquello fue en coches; ahora le toca a las motos eléctricas conectadas, que comparten arquitectura de software y, a menudo, los mismos errores de diseño en la capa de autenticación.
La diferencia es que en moto el riesgo de un comando remoto malintencionado es directo sobre la integridad física del piloto. No es lo mismo que te roben la posición GPS — grave, pero gestionable — que un actor remoto pueda alterar el comportamiento del control de tracción o del freno regenerativo. Por eso la respuesta de Zero, que está siendo rápida en preparar el parche, es la correcta. La DGT no se ha pronunciado todavía sobre si exigirá registro específico de incidencias de ciberseguridad en vehículos, pero la tendencia europea apunta en esa dirección.
Mi lectura: bienvenidas las motos conectadas, pero los fabricantes tienen que entender que vender una moto eléctrica conectada exige el mismo nivel de auditoría de software que un coche premium. Lo que está en juego no es la app, es la moto. Y a futuro próximo veremos si el reglamento europeo entra con la fuerza esperada o si, como ha pasado con otras normativas, llegará tarde a un mercado que ya tendrá que estar maduro por sí solo.
Tu Mecánico de Confianza
- Acción inmediata recomendada: si tienes una Zero Motorcycles o un scooter Yadea con conectividad, abre la app oficial y comprueba si hay actualización pendiente. Lánzala con la moto enchufada y batería al menos al 50%.
- Buenas prácticas de cuenta: cambia la contraseña de la app del fabricante si llevas más de un año sin tocarla, activa la verificación en dos pasos si la marca la ofrece, y revisa qué dispositivos tienen acceso vinculado.
- Curiosidad histórica: el primer hackeo documentado a un vehículo conectado en circulación fue al Jeep Cherokee en 2015, y forzó la primera retirada masiva por motivos de ciberseguridad de la historia del automóvil. Las motos están entrando ahora en esa misma curva de aprendizaje.
