Un
grave
bug
en
el
portal
web
de
Kia
permitió
a
un
equipo
de
expertos
en
ciberseguridad
controlar
millones
de
vehículos
de
forma
remota.
La
vulnerabilidad,
localizada
en
la
infraestructura
web
del
fabricante
surcoreano,
posibilitó
a
los
hackers
desbloquear,
encender
y
rastrear
vehículos…
y
para
ellos
les
bastó
con
conocer
un
número
de
matrícula.
Así
se
aprovecharon
los
atacantes
El
pasado
junio,
un
equipo
de
investigadores
descubrió
que
un
simple
error
en
la
plataforma
web
de
Kia
permitía
el
acceso
no
autorizado
a
millones
de
vehículos
modernos.
Descrita
por
el
investigador
Neiko
Rivera
como
una
vulnerabilidad
propia
de
una «seguridad
web
muy
pobre»,
ésta
dejaba
expuestos
diversos
modelos
de
Kia
vendidos
en
los
EE.UU.
a
toda
una
serie
de
amenazas…
…los
hackers
podían
desbloquear
puertas,
encender
motores
e
incluso
rastrear
el
paradero
de
los
vehículos
con
solo
introducir
el
número
de
matrícula
en
una
aplicación
personalizada
que
desarrollaron
como
prueba
de
concepto.
Dicha
aplicación
funcionaba
utilizando
comandos
directos
a
la
API
de
Kia,
una
interfaz
de
software
que
permite
a
los
usuarios
interactuar
con
las
funciones
del
vehículo
a
través
de
Internet.
En
tan
sólo
unos
segundos,
podían
localizar
un
coche,
abrirlo
y
encenderlo.
Los
investigadores
también
lograron
extraer
información
personal
del
propietario
del
vehículo,
como
su
nombre,
número
de
teléfono,
dirección
de
correo
electrónico
y
dirección
residencial.
Esto
hizo
posible
que
los
atacantes
agregaran
sus
propios
dispositivos
como
administradores
de
los
vehículos
sin
el
conocimiento
del
propietario.
Consecuencias
de
la
vulnerabilidad
Aunque
es
cierto
que
este
ciberataque
no
permitía
a
los
atacantes
controlar
directamente
la
dirección
o
los
frenos
del
automóvil,
la
posibilidad
de
desbloquear
y
encender
el
vehículo
representa
también
un
grave
riesgo:
según
Sam
Curry,
miembro
del
equipo
de
investigación,
este
bug
pudo
facilitar
robos
o
situaciones
de
acoso,
además
de
exponer
la
privacidad
de
los
usuarios.
En
el
caso
de
modelos
equipados
con
cámara
de
360
grados,
los
atacantes
podían
incluso
ver
el
entorno
del
vehículo.
Según
la
firma
de
seguridad
Kaspersky,
«esta
vulnerabilidad
podría
usarse
fácilmente
para
rastrear
a
su
titular,
robar
objetos
de
valor
que
quedan
dentro
del
coche
(o
plantar
algo
allí)
o
alterar
la
vida
de
quien
conduce
con
acciones
inesperadas
desde
el
coche».
El
origen
(y
el
alcance)
de
la
vulnerabilidad
Los
investigadores
identificaron
el
problema
en
un
error
simple
en
el ‘backend’
de
Kia.
El
portal
de
Kia
permitía
el
acceso
con
privilegios
administrativos
sin
verificar
adecuadamente
si
el
usuario
en
cuestión
era
un
concesionario
autorizado.
Esto
daba
a
cualquier
persona
la
capacidad
de
controlar
remotamente
las
funciones
del
vehículo.
Además,
los
hackers
encontraron
una
forma
de
convertir
un
número
de
matrícula
en
el
número
de
identificación
del
vehículo
(VIN),
facilitando
la
explotación
de
la
vulnerabilidad.
Además,
esta
vulnerabilidad
no
es
exclusiva
de
Kia.
Según
el
equipo
de
investigación,
marcas
como
Honda,
Hyundai,
Toyota
y
BMW
presentan
problemas
similares
en
sus
sistemas
web.
Los
hackers
encontraron
vulnerabilidades
en
más
de
una
docena
de
fabricantes,
revelando
un
patrón
de
deficiencias
en
la
ciberseguridad
web
de
la
industria
automotriz.
El
investigador
Rivera
señaló
que
la
industria
automotriz
se
ha
centrado
más
en
la
seguridad
de
los
componentes
integrados
de
los
vehículos,
como
los
frenos
y
el
sistema
de
dirección,
mientras
que
la
seguridad
web
ha
quedado
en
segundo
plano.
Con
el
creciente
número
de
funciones
conectadas
a
Internet
en
los
automóviles,
la ‘superficie
de
ataque’
se
ha
ampliado
enormemente,
poniendo
en
riesgo
a
los
usuarios.
Stefan
Savage,
profesor
de
ciencias
de
la
computación
en
UC
San
Diego,
señala
la
razón
última
de
este
problema:
«¿Cómo
se
decide
retrasar
el
lanzamiento
de
un
vehículo
seis
meses
porque
el
código
web
no
está
listo?».
Vía
|
Sam
Curry
Imagen
|
Marcos
Merino
mediante
IA
