Una falla informática en sitios web de la marca Kia, dejaron una puerta abierta para que piratas ingresaran a hackear sistemas y rastrear autos de la compañía.
Un grupo de investigadores de seguridad independientes reveló que habían encontrado una falla en un portal web operado por el fabricante de automóviles Kia que permitía a los investigadores reasignar el control de las funciones conectadas a Internet de la mayoría de los vehículos: desde el celular del propietario de un automóvil hasta el propio teléfono o computadora de los piratas informáticos. Al explotar esa vulnerabilidad y crear su propia aplicación personalizada para enviar comandos a los automóviles objetivo, pudieron escanear prácticamente la matrícula de cualquier vehículo Kia conectado a Internet y, en cuestión de segundos, obtener la capacidad de rastrear la ubicación de ese automóvil, desbloquear el automóvil, tocar la bocina o iniciar su encendido a voluntad.
«Una y otra vez, estos problemas puntuales siguen apareciendo», dice Sam Curry, un miembro del grupo de hackers de coches, que trabaja como ingeniero de seguridad para la empresa de Web3 Yuga Labs. «Han pasado dos años, ha habido mucho trabajo bueno para solucionar este problema, pero todavía se siente realmente roto».
La técnica de hackeo de Kia basada en la web del grupo no le da a un hacker acceso a los sistemas de conducción como la dirección o los frenos, ni supera el llamado inmovilizador que evita que un automóvil se aleje, incluso si se enciende su encendido. Sin embargo, podría haberse combinado con técnicas de derrota de inmovilizadores populares entre los ladrones de automóviles o usarse para robar automóviles de gama baja que no tienen inmovilizadores.
«Si alguien te cortaba el paso en el tráfico, podías escanear su matrícula y luego saber dónde estaba cuando quisieras y entrar en su coche», dice Curry. «Si no hubiéramos llamado la atención de Kia sobre esto, cualquiera que pudiera consultar la matrícula de alguien podría esencialmente acecharlo».
La técnica de hackeo de Kia que encontró el grupo funciona explotando una falla relativamente simple en el backend del portal web de Kia para clientes y concesionarios, que se utiliza para configurar y administrar el acceso a las funciones de su automóvil conectado. Cuando los investigadores enviaron comandos directamente a la API de ese sitio web, la interfaz que permite a los usuarios interactuar con sus datos subyacentes, dicen que descubrieron que no había nada que les impidiera acceder a los privilegios de un concesionario Kia, como asignar o reasignar el control de las características de los vehículos a cualquier cuenta de cliente que crearan.
