Un grupo de investigadores de seguridad descubrió una vulnerabilidad grave en el portal web del fabricante de coches surcoreano Kia, que permitía piratear los coches de forma remota y rastrear a sus titulares. Para llevar a cabo el acto de piratería, solo se requería el número de matrícula del coche de la víctima. Profundicemos en los detalles.
Coches demasiado conectados
Si lo piensas bien, en las últimas dos décadas, los coches son básicamente ordenadores sobre ruedas. Incluso los modelos menos “inteligentes” están equipados con componentes electrónicos y una amplia variedad de sensores, desde sonares y cámaras hasta detectores de movimiento y GPS.
Pero no solo eso. Desde los últimos años, estos equipos están conectados a Internet todo el tiempo, con todos los riesgos que ello implica. No hace mucho, publicamos un artículo sobre cómo los coches actuales recopilan grandes cantidades de datos sobre sus titulares y los envían a sus fabricantes. Por su parte, los fabricantes venden los datos recopilados a otras empresas, en particular a aseguradoras.
Sin embargo, esta cuestión presenta otra particularidad: una conexión constante a Internet significa que, si hay vulnerabilidades (ya sea en el coche o en el sistema en la nube con el que se comunica), alguien podría aprovecharlas para piratear el sistema del coche y rastrear a su titular, sin que el fabricante lo sepa.
Un error para gobernarlos a todos, un error para encontrarlos
En este caso, sucedió exactamente eso. Investigadores descubrieron una vulnerabilidad en el portal web de Kia, que utilizan titulares y distribuidoras de coches Kia. Resultó que, al usar la API, el portal permitía a cualquier persona registrarse como distribuidora de coches con tan solo unos pocos movimientos bastante sencillos.
De esta forma, quien ejecutaba el ataque obtenía acceso a funciones que incluso las distribuidoras de coches no deberían tener; al menos, no después de haber entregado el coche al cliente. Específicamente, el portal permite buscar cualquier coche Kia y luego acceder a los datos de su titular (nombre, número telefónico, dirección de correo electrónico e incluso dirección física), todo con solo introducir el número VIN del coche.
Cabe señalar que los números VIN no son información secreta; en algunos países, están disponibles públicamente. Por ejemplo, en EE. UU., existen muchos servicios en línea que puedes usar para buscar un número VIN usando el número de matrícula del coche.
Después de encontrar el coche, se pueden usar los datos de su titular para registrar, en el sistema de Kia, cualquier cuenta controlada por atacantes como un nuevo usuario del vehículo. Desde esta cuenta, se obtiene acceso a varias funciones que suelen estar disponibles solo para cada titular del coche a través de la aplicación móvil.
Lo que es particularmente interesante es que todas estas funciones no solo estaban disponibles para la distribuidora que vendió ese coche, sino para cualquier distribuidora registrada en el sistema de Kia.
Piratería a un coche en segundos
A partir de este descubrimiento, el grupo de investigadores desarrolló una aplicación experimental que podía tomar el control de cualquier coche Kia en segundos, con tan solo introducir el número de matrícula en los campos de entrada. La aplicación buscaría el VIN del coche a través del servicio relevante y lo usaría para registrar el vehículo en la cuenta de este grupo de investigadores.
Después de eso, pulsar un solo botón en la aplicación le permitiría al atacante obtener las coordenadas actuales del vehículo, bloquear o desbloquear las puertas, encender o detener el motor o tocar la bocina.
De todos modos, es importante tener en cuenta que en la mayoría de los casos estas funciones no serían suficientes para robar el coche. Los modelos modernos suelen contar con inmovilizadores, que requieren la presencia física de la llave para desactivarlos. Existen algunas excepciones, pero, en general, estos son los coches más económicos y es poco probable que sean de mucho interés para cualquier delincuente.
Sin embargo, esta vulnerabilidad podría usarse fácilmente para rastrear a su titular, robar objetos de valor que quedan dentro del coche (o plantar algo allí) o alterar la vida de quien conduce con acciones inesperadas desde el coche.
Este grupo de investigadores siguió el protocolo de divulgación responsable, informó al fabricante del problema y solo publicó sus hallazgos después de que Kia corrigiera el error. Sin embargo, mencionaron que han encontrado vulnerabilidades similares en el pasado y tienen la seguridad de que seguirán descubriendo más en el futuro.