Tres investigadores revelaron una vulnerabilidad en un portal oficial de la Federación Internacional del Automóvil (FIA) que permitió acceder a información confidencial de pilotos, incluidos documentos personales del campeón mundial Max Verstappen. Todo esto se da a conocer a pocos días del Gran Premio de México 2025, que se llevará a cabo este fin de semana.
El hallazgo fue publicado por los investigadores Gal Nagli, Sam Curry e Ian Carroll, quienes explicaron que bastaba una modificación en el código de la página driverscategorisation.fia.com —el sistema oficial donde se registran los pilotos para obtener su licencia o actualizar su categoría— para obtener privilegios de administrador.
En términos simples, la página web confiaba ciegamente en los datos enviados por los usuarios. Al enviar una petición con la frase “Make me an admin”, el servidor aceptaba el cambio sin verificar permisos.
“El servidor confiaba en cualquier cosa que le mandáramos, sin revisar si teníamos derecho a cambiar esos campos”, escribió Nagli en X.
Con ese acceso, los investigadores pudieron entrar al panel administrativo completo de la FIA, donde se almacenaban documentos de identidad, licencias y correspondencia interna entre el personal del organismo y los comités de certificación.
Cómo se descubrió el error de la FIA
El portal permite a cualquier piloto o aspirante crear una cuenta para solicitar su categorización —Bronce, Plata, Oro o Platino—, subir su historial y esperar la evaluación de la FIA. Durante una prueba con una cuenta de usuario normal, los investigadores notaron que la respuesta del servidor incluía un campo llamado “roles”, que mostraba los niveles de acceso posibles.
Al modificar ese campo en la petición y volver a iniciar sesión, la interfaz cambió completamente: ya no mostraba un perfil de piloto, sino el panel de administración interno, con acceso a “todas las solicitudes de pilotos, documentos cargados, comentarios internos y herramientas de gestión de personal”.
“Nos convertimos en administradores con una sola solicitud”, explicó Carroll en su blog técnico.
Documentos de Verstappen y datos internos
Para comprobar la magnitud de la falla, los investigadores buscaron el perfil de Max Verstappen y confirmaron que podían ver archivos como su pasaporte, licencia, CV y correspondencia con la FIA. Aclararon, sin embargo, que no descargaron ni guardaron información sensible, y que solo tomaron capturas de pantalla como evidencia.
“Validamos que la vulnerabilidad existía, tomamos capturas de prueba y dejamos de probar inmediatamente. Ningún dato de piloto fue comprometido por nosotros”, escribió Nagli.
Además, el acceso incluía mensajes internos sobre el rendimiento de pilotos y decisiones confidenciales de los comités, lo que evidencia que cualquier atacante podría haber accedido a evaluaciones privadas o manipulado registros.
La respuesta de la FIA y el cierre del incidente
El grupo reportó la vulnerabilidad el 3 de junio de 2025 por correo y LinkedIn. La FIA respondió ese mismo día y desconectó el sitio para revisar el problema. Una semana después, el 10 de junio, el organismo confirmó haber aplicado un parche integral.
Según los investigadores, la respuesta fue rápida y responsable. “Trabajamos con la FIA para solucionar el problema de inmediato. Agradecemos al equipo por tomarlo en serio y reaccionar con rapidez”, escribió Nagli en X.
La vulnerabilidad fue divulgada públicamente el 22 de octubre de 2025, apenas cuatro días antes del Gran Premio de México, uno de los eventos más importantes del calendario de la Fórmula 1.
Un recordatorio sobre la seguridad digital en el automovilismo
Aunque no se registraron descargas ilegales ni filtraciones, el caso muestra que incluso organismos internacionales con grandes recursos pueden tener fallas básicas de programación. Los expertos lo calificaron como un ejemplo clásico de “mass assignment”, un error común en APIs que no restringen los datos que los usuarios pueden modificar.
En la práctica, este tipo de vulnerabilidad permite a cualquier persona con conocimientos básicos enviar comandos que el sistema acepta como válidos, abriendo la puerta a manipulación de cuentas, robo de información o sabotaje.