## Descubierta Vulnerabilidad en Bicicletas Eléctricas Yadea T5 Investigadores de seguridad han identificado una vulnerabilidad crítica en las Bicicletas Eléctricas Yadea T5 que podría permitir a actores maliciosos robar los vehículos. La falla, CVE-2025-70994, se origina en un mecanismo de autenticación débil que hace que las bicicletas sean susceptibles a la falsificación de señales. ### Detalles Técnicos La vulnerabilidad reside en el proceso de autenticación del llavero de la bicicleta. Un atacante local que intercepte transmisiones legítimas del llavero puede falsificar señales para desbloquear y arrancar la bicicleta. Según la Agencia de Ciberseguridad e Infraestructura (CISA), la explotación exitosa de esta vulnerabilidad podría resultar directamente en el robo del vehículo. El producto afectado es: * Bicicleta Eléctrica Yadea T5: versiones all/*  ### Puntuación CVSS y Productos Afectados La vulnerabilidad tiene una puntuación CVSS v3 de 7.3, lo que indica una alta severidad. La siguiente tabla resume los detalles clave: | CVSS | Vendor | Equipo | Vulnerabilidades | | :---- | :----- | :------------------------- | :------------------ | | v3 7.3 | Yadea | Bicicleta Eléctrica Yadea T5 | Autenticación Débil | La Enumeración Común de Debilidades (CWE) asociada con esta vulnerabilidad es CWE-1390, que aborda específicamente la autenticación débil. ### Impacto * **Sectores de Infraestructura Crítica:** Sistemas de Transporte * **Países/Áreas Desplegadas:** Mundial * **Ubicación de la Sede de la Empresa:** China ### Mitigación y Recomendaciones Aunque no se ha lanzado ningún parche o actualización de firmware específico por parte de Yadea al momento de redactar este artículo, CISA recomienda que las organizaciones implementen estrategias de ciberseguridad recomendadas para una defensa proactiva. Estas incluyen: * Implementar estrategias de defensa en profundidad. * Monitorear la actividad sospechosa en la red. * Seguir los procedimientos internos establecidos y reportar los hallazgos a CISA para su seguimiento y correlación con otros incidentes. CISA proporciona orientación adicional y prácticas recomendadas en su página web de ICS. ### Agradecimientos Ashen Chathuranga reportó esta vulnerabilidad a MITRE y CISA. ### Referencias * [Página web ICS de CISA](https://www.cisa.gov/ics) * [CVE-2025-70994](https://www.cve.org/CVERecord?id=CVE-2025-70994) * [CWE-1390](https://cwe.mitre.org/data/definitions/1390.html)