NARCO OBSERVATORIO
🛡 VULNERABILIDADES 🛡

Vulnerabilidad crítica en Chargemap (chargemap.com) afecta a miles de usuarios.

🛡CyberObservatorio
Idioma
◢ VULNERABILIDADES ◣

Vulnerabilidad crítica en Chargemap (chargemap.com) afecta a miles de usuarios.

⟫ 26/02/2026 ⟫ CISA
Fuente: CISA Alerts

**Vulnerabilidades en Infraestructura de Carga: Un Llamado a la Acción para la Seguridad Cibernética**

En un mundo cada vez más dependiente de la movilidad eléctrica y las infraestructuras de carga, la seguridad cibernética en estos sistemas es de vital importancia. Las estaciones de carga, que permiten a los vehículos eléctricos recargar sus baterías, son componentes críticos de la infraestructura de transporte moderno. Sin embargo, recientes informes han revelado vulnerabilidades significativas en las estaciones de carga gestionadas por Chargemap, un proveedor conocido en el ámbito. Estas vulnerabilidades no solo ponen en riesgo a los operadores de estaciones de carga, sino que también afectan a los usuarios finales, ya que podrían permitir ataques que comprometan la integridad y disponibilidad de los servicios de carga.

El impacto potencial de estas vulnerabilidades es considerable. Los atacantes podrían obtener control administrativo no autorizado sobre las estaciones de carga vulnerables o interrumpir los servicios de carga mediante ataques de denegación de servicio. Esto no solo podría causar inconvenientes a los conductores de vehículos eléctricos, sino que también podría tener repercusiones económicas para las empresas que operan estas infraestructuras.

Los detalles técnicos de estas vulnerabilidades son alarmantes. En primer lugar, se ha identificado que los puntos finales de WebSocket utilizados por Chargemap carecen de mecanismos de autenticación adecuados. Esto permite a un atacante no autenticado conectarse al punto final WebSocket OCPP (Open Charge Point Protocol) utilizando un identificador de estación de carga conocido o descubierto. Una vez conectado, el atacante puede emitir o recibir comandos OCPP como si fuera un cargador legítimo. La falta de autenticación puede llevar a un escalamiento de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga reportados al backend.

Además, la API de WebSocket no impone restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de tasa puede permitir a un atacante llevar a cabo ataques de denegación de servicio al suprimir o redirigir telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado. Esto pone de manifiesto una falta de atención a las mejores prácticas de seguridad que son fundamentales para proteger los sistemas críticos.

Otro punto crítico es que el backend de WebSocket utiliza identificadores de estaciones de carga para asociar de manera única las sesiones, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación resulta en identificadores de sesión predecibles y habilita el secuestro o "shadowing" de sesiones, donde la conexión más reciente reemplaza a la estación de carga legítima, recibiendo comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir que usuarios no autorizados se autentiquen como otros usuarios, o que un actor malicioso cause una condición de denegación de servicio al abrumar al backend con solicitudes de sesión válidas.

Además, se ha encontrado que los identificadores de autenticación de las estaciones de carga son accesibles públicamente a través de plataformas de mapeo en línea, lo que aumenta aún más la exposición a posibles ataques. Estos problemas han sido categorizados bajo varias vulnerabilidades de CWE, siendo las más relevantes CWE-306 (Falta de autenticación para funciones críticas), CWE-307 (Restricción inadecuada de intentos de autenticación excesivos), CWE-613 (Expiración de sesión insuficiente) y CWE-522 (Credenciales insuficientemente protegidas).

A pesar de la gravedad de estas vulnerabilidades, Chargemap no ha respondido a las solicitudes de coordinación de la CISA (Cybersecurity and Infrastructure Security Agency), lo que aumenta la preocupación sobre la rapidez con la que se abordarán estos problemas. Para más información o para reportar incidentes, los usuarios pueden contactar a Chargemap a través de su página de soporte.

Ante este panorama, la CISA ha instado a los usuarios a tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. Se recomienda reducir la exposición de la red para todos los dispositivos y sistemas de control, asegurando que no sean accesibles desde Internet. Asimismo, es aconsejable ubicar las redes de control y los dispositivos remotos detrás de cortafuegos y aislados de las redes empresariales. Cuando sea necesario el acceso remoto, se deben utilizar métodos más seguros, como las redes privadas virtuales (VPN), reconociendo que estas también pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible.

La CISA también recuerda a las organizaciones la importancia de realizar un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas. Existen prácticas recomendadas de seguridad para sistemas de control en la página web de CISA, donde se pueden encontrar documentos detallando las mejores prácticas de defensa cibernética, incluyendo estrategias de defensa en profundidad para mejorar la ciberseguridad de los sistemas de control industrial.

Es fundamental que las organizaciones implementen estrategias de ciberseguridad recomendadas para la defensa proactiva de los activos de sistemas de control. Se dispone de orientación adicional y prácticas recomendadas públicamente en la página web de ICS de CISA, así como en el documento técnico ICS-TIP-12-146-01B, que aborda estrategias de detección y mitigación de intrusiones cibernéticas dirigidas.

Finalmente, las organizaciones que observen actividad maliciosa sospechosa deben seguir los procedimientos internos establecidos y reportar sus hallazgos a CISA para su seguimiento y correlación con otros incidentes. Hasta el momento, no se ha informado de una explotación pública conocida que apunte específicamente a estas vulnerabilidades, pero la falta de respuesta de Chargemap y la naturaleza de las vulnerabilidades plantean un serio riesgo que no debe ser ignorado. La seguridad cibernética en la infraestructura de carga es un asunto de todos, y es imperativo que tanto los proveedores como los usuarios permanezcan vigilantes.

◢ VULNERABILIDADES ◣

Chargemap chargemap.com

⟫ 26/02/2026 ⟫ CISA
Source: CISA Alerts

View CSAF Successful exploitation of these vulnerabilities could enable attackers to gain unauthorized administrative control over vulnerable charging stations or disrupt charging services through denial-of-service attacks. The following versions of Chargemap chargemap.com are affected: Expand All + WebSocket endpoints lack proper authentication mechanisms, enabling attackers to perform unauthorized station impersonation and manipulate data sent to the backend. An unauthenticated attacker can connect to the OCPP WebSocket endpoint using a known or discovered charging station identifier, then issue or receive OCPP commands as a legitimate charger. Given that no authentication is required, this can lead to privilege escalation, unauthorized control of charging infrastructure, and corruption of charging network data reported to the backend. View CVE Details Vendor fixChargemap did not respond to CISA's request for coordination. Contact Chargemap using their contact page here: https://chargemap.com/en-us/support for more information. Relevant CWE:CWE-306 Missing Authentication for Critical Function The WebSocket Application Programming Interface lacks restrictions on the number of authentication requests. This absence of rate limiting may allow an attacker to conduct denial-of-service attacks by suppressing or misrouting legitimate charger telemetry, or conduct brute-force attacks to gain unauthorized access. View CVE Details Vendor fixChargemap did not respond to CISA's request for coordination. Contact Chargemap using their contact page here: https://chargemap.com/en-us/support for more information. Relevant CWE:CWE-307 Improper Restriction of Excessive Authentication Attempts The WebSocket backend uses charging station identifiers to uniquely associate sessions but allows multiple endpoints to connect using the same session identifier. This implementation results in predictable session identifiers and enables session hijacking or shadowing, where the most recent connection displaces the legitimate charging station and receives backend commands intended for that station. This vulnerability may allow unauthorized users to authenticate as other users or enable a malicious actor to cause a denial-of-service condition by overwhelming the backend with valid session requests. View CVE Details Vendor fixChargemap did not respond to CISA's request for coordination. Contact Chargemap using their contact page here: https://chargemap.com/en-us/support for more information. Relevant CWE:CWE-613 Insufficient Session Expiration Charging station authentication identifiers are publicly accessible via web-based mapping platforms. View CVE Details Vendor fixChargemap did not respond to CISA's request for coordination. Contact Chargemap using their contact page here: https://chargemap.com/en-us/support for more information. Relevant CWE:CWE-522 Insufficiently Protected Credentials This product is provided subject to this Notification (https://www.cisa.gov/notification) and this Privacy & Use policy (https://www.cisa.gov/privacy-policy). CISA recommends users take defensive measures to minimize the risk of exploitation of these vulnerabilities, such as: Minimize network exposure for all control system devices and/or systems, ensuring they are not accessible from the Internet. Locate control system networks and remote devices behind firewalls and isolating them from business networks. When remote access is required, use more secure methods, such as Virtual Private Networks (VPNs), recognizing VPNs may have vulnerabilities and should be updated to the most current version available. Also recognize VPN is only as secure as the connected devices. CISA reminds organizations to perform proper impact analysis and risk assessment prior to deploying defensive measures. CISA also provides a section for control systems security recommended practices on the ICS webpage on cisa.gov/ics. Several CISA products detailing cyber defense best practices are available for reading and download, including Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies. CISA encourages organizations to implement recommended cybersecurity strategies for proactive defense of ICS assets. Additional mitigation guidance and recommended practices are publicly available on the ICS webpage at cisa.gov/ics in the technical information paper, ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies. Organizations observing suspected malicious activity should follow established internal procedures and report findings to CISA for tracking and correlation against other incidents. No known public exploitation specifically targeting these vulnerabilities has been reported to CISA at this time.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD