La Falla de Seguridad de Kia Permite a los Hackers Tomar Control de los Vehículos Usando las Matrículas

Una investigación reciente ha descubierto una vulnerabilidad de seguridad en los sistemas conectados a internet de Kia, exponiendo a millones de vehículos a un posible hackeo.

Investigadores de seguridad independientes descubrieron que con tener la matrícula de un vehículo Kia, uno podría hackear el coche y obtener control no autorizado sobre funciones clave, como desbloquear puertas, rastrear la ubicación e incluso encender el motor, en solo segundos.

Los investigadores, quienes previamente identificaron vulnerabilidades similares en diversas automotrices, alertaron a Kia sobre este problema en junio. Aunque la empresa implementó una solución, parece que el problema no ha sido completamente resuelto.

“Cuanto más investigamos esto, más evidente se hizo que la seguridad web para vehículos es muy deficiente”, dijo Neiko Rivera, uno de los investigadores involucrados en el descubrimiento, según lo informado por WIRED.

Durante su investigación, los investigadores encontraron una vulnerabilidad en un portal web operado por Kia. Este fallo les permitió tomar el control de las funciones conectadas a internet en la mayoría de los vehículos modernos de Kia.

Los modelos afectados representan millones de coches en la carretera. Al explotar esta vulnerabilidad, los investigadores podrían transferir el control desde el teléfono móvil del propietario del vehículo a sus propios dispositivos.

Según Sam Curry, otro miembro del equipo de investigación, este defecto podría permitir a un hacker monitorear los movimientos de una persona.

“Si alguien te corta el paso en el tráfico, podrías escanear su matrícula y luego saber dónde están siempre que quisieras e incluso irrumpir en su coche”, le dijo Curry a WIRED.

“Si no hubiéramos llamado la atención de Kia sobre esto, cualquier persona que pudiera buscar la matrícula de alguien podría esencialmente acosarla.”

Los investigadores probaron su método en varios vehículos Kia, incluyendo coches de alquiler y vehículos en los concesionarios, confirmando su efectividad en todos los casos.

Para ilustrar lo fácilmente que estas vulnerabilidades podrían ser explotadas, los investigadores crearon un panel de control fácil de usar.

Esta herramienta permitía a los usuarios introducir un número de matrícula y recuperar la información personal del propietario, demostrando cómo un atacante podría tomar control de un vehículo y ejercer control.

El panel de control incluía un formulario que convertía el número de matrícula en el número de identificación del vehículo (VIN). Un botón de “Toma de control” ejecutaba una serie de pasos para obtener acceso al vehículo.

Además, otro botón mostraba la información personal del propietario. Finalmente, una pestaña de “Garaje” permitía al atacante ejecutar comandos en los vehículos comprometidos.

WIRED destaca que las numerosas vulnerabilidades en los sitios web de los fabricantes de automóviles, que permiten el control remoto de los vehículos, se derivan de un esfuerzo por atraer a los consumidores con funciones habilitadas para smartphones.

Stefan Savage, profesor de ciencias de la computación en UC San Diego, enfatiza que la integración de estas características aumenta los riesgos de seguridad, como lo señaló WIRED.