Un grave bug en el portal web de Kia permitió a un equipo de expertos en ciberseguridad controlar millones de vehículos de forma remota. La vulnerabilidad, localizada en la infraestructura web del fabricante surcoreano, posibilitó a los hackers desbloquear, encender y rastrear vehículos... y para ellos les bastó con conocer un número de matrícula.

Así se aprovecharon los atacantes

El pasado junio, un equipo de investigadores descubrió que un simple error en la plataforma web de Kia permitía el acceso no autorizado a millones de vehículos modernos. Descrita por el investigador Neiko Rivera como una vulnerabilidad propia de una "seguridad web muy pobre", ésta dejaba expuestos diversos modelos de Kia vendidos en los EE.UU. a toda una serie de amenazas...

...los hackers podían desbloquear puertas, encender motores e incluso rastrear el paradero de los vehículos con solo introducir el número de matrícula en una aplicación personalizada que desarrollaron como prueba de concepto.

Dicha aplicación funcionaba utilizando comandos directos a la API de Kia, una interfaz de software que permite a los usuarios interactuar con las funciones del vehículo a través de Internet. En tan sólo unos segundos, podían localizar un coche, abrirlo y encenderlo.

Los investigadores también lograron extraer información personal del propietario del vehículo, como su nombre, número de teléfono, dirección de correo electrónico y dirección residencial. Esto hizo posible que los atacantes agregaran sus propios dispositivos como administradores de los vehículos sin el conocimiento del propietario.

Consecuencias de la vulnerabilidad

Aunque es …