Una vulnerabilidad en Kia permitía controlar cualquier vehículo fabricado después de 2013
En los últimos años, la tecnología ha transformado la industria automotriz, permitiendo que los vehículos sean más inteligentes y conectados. Sin embargo, esta integración también ha generado nuevas vulnerabilidades.
Un reciente descubrimiento reveló que los vehículos Kia fabricados después de 2013 estaban expuestos a un fallo de seguridad que permitía a hackers desbloquear y encender los automóviles de forma remota.
El descubrimiento de la vulnerabilidad
El investigador de ciberseguridad y cazador de bugs, Sam Curry, fue quien alertó al público sobre esta grave vulnerabilidad. Curry ya era conocido en la industria por haber descubierto fallos similares en marcas de lujo como Ferrari, BMW y Porsche.
En esta ocasión, su investigación reveló un método para obtener tokens a través del sitio web de Kia, lo que le otorgaba acceso a una amplia gama de funciones de los vehículos.
El proceso comenzaba con la creación de una cuenta en el sitio de concesionarios de Kia. Una vez dentro, el sitio proporcionaba a Curry un token que le permitía interactuar con las API de los concesionarios. Este acceso no solo le daba control sobre las funciones del automóvil, sino que también le permitía localizar cualquier vehículo Kia fabricado desde 2013, con solo conocer el número de matrícula. Entre las acciones que podía realizar estaban el desbloqueo de las puertas, hacer sonar la bocina, y encender o apagar el motor.
Pero la gravedad de la vulnerabilidad no se limitaba a controlar el vehículo. El token también ofrecía acceso a datos sensibles de los propietarios de los vehículos. Curry fue capaz de visualizar nombres completos, números de teléfono, direcciones de correo electrónico y postales de los clientes de Kia. Peor aún, podía agregar su propio usuario como conductor autorizado sin que el dueño original del automóvil fuera notificado.
La respuesta de Kia
Tras recibir el informe de Curry, Kia tomó medidas rápidas para corregir la vulnerabilidad. La empresa emitió un parche para cerrar el agujero de seguridad y aseguró que, hasta el momento, no había evidencia de que esta vulnerabilidad hubiera sido explotada de forma maliciosa.
«Estas vulnerabilidades ya han sido corregidas, esta herramienta nunca fue liberada y el equipo de Kia ha confirmado que no fue explotada malintencionadamente», concluyó Curry.