Millones de vehículos Kia en riesgo de una alarmante vulnerabilidad de piratería remota
En una revelación escalofriante, los investigadores de seguridad descubrieron recientemente vulnerabilidades graves en los sistemas en línea de Kia que dejaron a millones de vehículos vulnerables a ataques de hackers remotos. No se trataba solo de acceder a algunas funciones sin importancia. Las fallas descubiertas podrían haber dado a los hackers el poder de controlar funciones clave del vehículo, todo con unos pocos pasos simples.
Tabla de contenido
La peligrosa hazaña
Imagínese lo siguiente: con tan solo el número de matrícula de su coche, un hacker podría hacerse con el control de su vehículo en menos de 30 segundos. Alarmante, ¿verdad? Sam Curry, un investigador de ciberseguridad, junto con un equipo de otros tres expertos, descubrió estas inquietantes fallas en el portal de propietarios de Kia, un sistema en línea que conecta a los propietarios de vehículos con sus coches.
Las vulnerabilidades no solo abrieron la puerta al control remoto de vehículos, sino que también expusieron un tesoro de información personal. Se podían extraer sin esfuerzo detalles como el nombre, la dirección, la dirección de correo electrónico y el número de teléfono del propietario del vehículo. Y lo que es quizás aún más preocupante es que los atacantes podían crear un segundo perfil de usuario sin que el propietario lo supiera, lo que les permitía enviar comandos al vehículo, como desbloquear las puertas o incluso arrancar el motor.
El desglose técnico
¿Cómo se filtraron estas vulnerabilidades? Según Curry, el sitio web de los propietarios de Kia no era solo un portal para consultar información del vehículo, sino que tenía la capacidad de ejecutar comandos de Internet al vehículo. Esta funcionalidad era posible gracias a un proxy inverso de backend que dirigía estos comandos a una API responsable de llevar a cabo las acciones.
Además, la infraestructura de los concesionarios de Kia planteaba riesgos similares. Después de registrarse en el sitio del concesionario, la misma solicitud utilizada para el registro en el portal de propietarios de Kia podía ser manipulada. Los investigadores pudieron obtener un token de acceso que les permitía llamar a las API de backend de los concesionarios.
En términos sencillos, el sistema entregaría las llaves del reino. Al explotar estas vulnerabilidades, los piratas informáticos podrían recuperar datos personales confidenciales e incluso reemplazar la dirección de correo electrónico del propietario, convirtiéndose en los titulares principales de la cuenta. Desde allí, podrían enviar comandos al vehículo, todo ello sin levantar sospechas por parte del propietario.
Una falla con un alcance masivo
Uno de los aspectos más inquietantes de esta vulnerabilidad fue su alcance. El equipo de Curry pudo crear un tablero de control de prueba que les permitió ingresar una matrícula, recuperar la información personal del propietario y emitir comandos al vehículo. Según Curry, cualquier modelo de Kia fabricado después de 2013 estaba potencialmente en riesgo.
Una vez comprometido, el hacker podría rastrear el auto, manipular funciones como desbloquear las puertas, tocar la bocina o encender el motor, todo desde la comodidad de un teclado.
¿Quizás la parte más impactante? Desde la perspectiva del propietario, no hubo notificaciones ni alertas de que alguien hubiera accedido a su vehículo o hubiera alterado su cuenta. Fue básicamente una toma de control silenciosa.
Respuesta de Kia
Afortunadamente, después de que se informara a Kia sobre las vulnerabilidades en junio de 2024, el fabricante de automóviles actuó. A mediados de agosto, implementaron una solución para abordar las fallas y proteger sus vehículos de ataques remotos. Si bien el parche fue un alivio para muchos, es un duro recordatorio de lo conectados que se han vuelto nuestros vehículos y lo vulnerables que pueden ser a los ciberataques.
¿Qué sigue en materia de seguridad vehicular?
A medida que más fabricantes de automóviles integran tecnología avanzada y sistemas basados en Internet en sus vehículos, el riesgo de amenazas cibernéticas está aumentando. El incidente de Kia sirve como una llamada de atención, destacando la importancia de una ciberseguridad sólida en los vehículos modernos. A medida que evoluciona la industria automotriz, también deben evolucionar los protocolos de seguridad diseñados para mantener a los automóviles y a los conductores a salvo de las amenazas digitales.
Este episodio debería impulsar a los fabricantes de automóviles, y a Kia en particular, a revisar y actualizar constantemente sus medidas de seguridad. Para los propietarios de vehículos, es fundamental mantenerse informados, aplicar las actualizaciones con prontitud y estar al tanto de cualquier posible fallo de seguridad que pueda surgir en esta era de los coches conectados.
El futuro digital de los automóviles es apasionante, pero también conlleva riesgos importantes que requieren una atención especial para mantener a todos en la carretera a salvo de amenazas físicas y digitales.