Ciudad de México,
Axel Olivares
Crédito foto: Sergio F Cara (NotiPress/Composición)
Mientras que históricamente hackear un auto con conexión a Internet era una tarea casi imposible, recientemente un pequeño grupo de piratas informáticos encontró una técnica mucho más sencilla para hackear y rastrear millones de vehículos. El punto de inmersión es un simple fallo en un sitio web del fabricante de automóviles Kia.
Con esta falla, los hackers crearon una aplicación capaz de controlar el auto de cualquier vehículo Kia conectado a Internet. Desde un smartphones pudieron rastrear la ubicación de ese auto, desbloquearlo, tocar el claxon y hasta encenderlo a voluntad.
Luego de que los investigadores alertaran a Kia sobre el problema en junio de 2024, la empresa corrigió la vulnerabilidad en su portal web. Sin embargo, el problema parece no terminar ahí ya que en 2023 encontraron una técnica similar para secuestrar los sistemas digitales de los vehículos Kia. Y esos fallos son apenas dos de una serie de vulnerabilidades similares basadas en la web que han descubierto en los últimos dos años y han afectado a automóviles vendidos por Acura, Genesis, Honda, Hyundai, Infiniti y Toyota, entre otros.
De acuerdo con Neiko "Specters" Rivera, uno de los investigadores que descubrió la vulnerabilidad más reciente de Kia, reveló: "cuanto más investigamos, más evidente resulta que la seguridad web de los vehículos es muy deficiente". Por su parte, Sam Curry, otro miembro del grupo de piratas informáticos de autos, que trabaja como ingeniero de seguridad, afirmó que "si alguien te cortaba el paso en un atasco, podías escanear su matrícula y saber dónde estaba cuando quisieras y entrar en su auto".
En este sentido, aseguró que "si no hubiéramos llamado la atención de Kia sobre esto, cualquiera que pudiera consultar la matrícula de alguien podría básicamente acecharle". Según Curry, el fallo del portal web también permitía a los piratas informáticos consultar una amplia gama de información personal sobre los clientes de Kia tales como su nombre, número de teléfono, dirección de casa, entre otros datos. La información sobre la investigación de Kia fue revelada por Wired.
La técnica de pirateo consiste en la explotación de un fallo en el backend del portal web de Kia para clientes y concesionarios el cual se utiliza para configurar y gestionar el acceso a las funciones de sus automóviles conectados. Al enviar comandos directamente a la API de ese sitio web, los investigadores descubrieron que, con tan solo el número de identificación de vehículo (VIN), podían acceder a los privilegios de un concesionario de Kia.
Tiempo después de que los investigadores advirtieran del problema a Kia, la compañía introdujo un cambio en la API de su portal web el cual parecía bloquear su técnica. Sin embargo, Kia no ha informado sobre los efectos del cambio.
Aun así, el equipo sostiene que a medida que se lanzan al mercado automóviles con funciones a control remoto, las empresas automovilísticas se centran más en los dispositivos integrados que en la seguridad web. Según Stefan Savage, profesor de informática de la Universidad de California en San Diego (UCSD), quien fue uno de los primeros en lograr hackear un vehículo en 2010, el trabajo de los investigadores del hackeo de Kia puede ayudar a cambiar ese enfoque y así, garantizar la seguridad para sus clientes.