{"id":27773,"date":"2024-11-05T14:39:15","date_gmt":"2024-11-05T20:39:15","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27773"},"modified":"2024-11-05T14:39:15","modified_gmt":"2024-11-05T20:39:15","slug":"tracking-and-hacking-kia-cars-via-internet","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/27773\/","title":{"rendered":"C\u00f3mo se rastreaban millones de autos Kia"},"content":{"rendered":"

Un grupo de investigadores de seguridad descubri\u00f3<\/a> una vulnerabilidad grave en el portal web del fabricante de coches surcoreano Kia, que permit\u00eda piratear los coches de forma remota y rastrear a sus titulares. Para llevar a cabo el acto de pirater\u00eda, solo se requer\u00eda el n\u00famero de matr\u00edcula del coche de la v\u00edctima. Profundicemos en los detalles.<\/p>\n

Coches demasiado conectados<\/h2>\n

Si lo piensas bien, en las \u00faltimas dos d\u00e9cadas, los coches son b\u00e1sicamente ordenadores sobre ruedas. Incluso los modelos menos \u201cinteligentes\u201d est\u00e1n equipados con componentes electr\u00f3nicos y una amplia variedad de sensores, desde sonares y c\u00e1maras hasta detectores de movimiento y GPS.<\/p>\n

Pero no solo eso. Desde los \u00faltimos a\u00f1os, estos equipos est\u00e1n conectados a Internet todo el tiempo, con todos los riesgos que ello implica. No hace mucho, publicamos un art\u00edculo sobre c\u00f3mo los coches actuales recopilan grandes cantidades de datos sobre sus titulares<\/a> y los env\u00edan a sus fabricantes. Por su parte, los fabricantes venden los datos recopilados a otras empresas<\/a>, en particular a aseguradoras.<\/p>\n

Sin embargo, esta cuesti\u00f3n presenta otra particularidad: una conexi\u00f3n constante a Internet significa que, si hay vulnerabilidades (ya sea en el coche o en el sistema en la nube con el que se comunica), alguien podr\u00eda aprovecharlas para piratear el sistema del coche y rastrear a su titular, sin que el fabricante lo sepa.<\/p>\n

\"Consola<\/a>

La llamada \u201cconsola\u201d de un coche es solo la punta del iceberg; de hecho, los coches de hoy est\u00e1n llenos de piezas electr\u00f3nicas.<\/p><\/div>\n

Un error para gobernarlos a todos, un error para encontrarlos<\/h2>\n

En este caso, sucedi\u00f3 exactamente eso. Investigadores descubrieron una vulnerabilidad en el portal web de Kia, que utilizan titulares y distribuidoras de coches Kia. Result\u00f3 que, al usar la API, el portal permit\u00eda a cualquier persona registrarse como distribuidora de coches con tan solo unos pocos movimientos bastante sencillos.<\/p>\n

\"Portal<\/a>

El portal de Kia donde se descubri\u00f3 una vulnerabilidad grave. Fuente<\/a><\/p><\/div>\n

De esta forma, quien ejecutaba el ataque obten\u00eda acceso a funciones que incluso las distribuidoras de coches no deber\u00edan tener; al menos, no despu\u00e9s de haber entregado el coche al cliente. Espec\u00edficamente, el portal permite buscar cualquier coche Kia y luego acceder a los datos de su titular (nombre, n\u00famero telef\u00f3nico, direcci\u00f3n de correo electr\u00f3nico e incluso direcci\u00f3n f\u00edsica), todo con solo introducir el n\u00famero VIN del coche.<\/p>\n

Cabe se\u00f1alar que los n\u00fameros VIN no son informaci\u00f3n secreta; en algunos pa\u00edses, est\u00e1n disponibles p\u00fablicamente. Por ejemplo, en EE.\u00a0UU., existen muchos servicios en l\u00ednea<\/a> que puedes usar para buscar un n\u00famero VIN usando el n\u00famero de matr\u00edcula del coche.<\/p>\n

\"Diagrama.<\/a>

Un plan general del ataque al portal web de Kia, que permite acceder a cualquier coche usando su n\u00famero VIN. Fuente<\/a><\/p><\/div>\n

Despu\u00e9s de encontrar el coche, se pueden usar los datos de su titular para registrar, en el sistema de Kia, cualquier cuenta controlada por atacantes como un nuevo usuario del veh\u00edculo. Desde esta cuenta, se obtiene acceso a varias funciones que suelen estar disponibles solo para cada titular del coche a trav\u00e9s de la aplicaci\u00f3n m\u00f3vil.<\/p>\n

Lo que es particularmente interesante es que todas estas funciones no solo estaban disponibles para la distribuidora que vendi\u00f3 ese coche, sino para cualquier distribuidora registrada en el sistema de Kia.<\/p>\n

Pirater\u00eda a un coche en segundos<\/h2>\n

A partir de este descubrimiento, el grupo de investigadores desarroll\u00f3 una aplicaci\u00f3n experimental que pod\u00eda tomar el control de cualquier coche Kia en segundos, con tan solo introducir el n\u00famero de matr\u00edcula en los campos de entrada. La aplicaci\u00f3n buscar\u00eda el VIN del coche a trav\u00e9s del servicio relevante y lo usar\u00eda para registrar el veh\u00edculo en la cuenta de este grupo de investigadores.<\/p>\n

\"Aplicaci\u00f3n<\/a>

Este grupo de investigaci\u00f3n incluso desarroll\u00f3 una aplicaci\u00f3n \u00fatil para simplificar la pirater\u00eda: todo lo que se necesitaba era el n\u00famero de matr\u00edcula del coche Kia. Fuente<\/a><\/p><\/div>\n

Despu\u00e9s de eso, pulsar un solo bot\u00f3n en la aplicaci\u00f3n le permitir\u00eda al atacante obtener las coordenadas actuales del veh\u00edculo, bloquear o desbloquear las puertas<\/a>, encender o detener el motor o tocar la bocina.<\/p>\n

\"Pirater\u00eda<\/a>

La aplicaci\u00f3n podr\u00eda usarse para obtener las coordenadas del coche pirateado y enviar comandos. Fuente<\/a><\/p><\/div>\n

De todos modos, es importante tener en cuenta que en la mayor\u00eda de los casos estas funciones no ser\u00edan suficientes para robar el coche. Los modelos modernos suelen contar con inmovilizadores, que requieren la presencia f\u00edsica de la llave para desactivarlos. Existen algunas excepciones, pero, en general, estos son los coches m\u00e1s econ\u00f3micos y es poco probable que sean de mucho inter\u00e9s para cualquier delincuente.<\/p>\n

Sin embargo, esta vulnerabilidad podr\u00eda usarse f\u00e1cilmente para rastrear a su titular, robar objetos de valor que quedan dentro del coche (o plantar algo all\u00ed) o alterar la vida de quien conduce con acciones inesperadas desde el coche.<\/p>\n

Este grupo de investigadores sigui\u00f3 el protocolo de divulgaci\u00f3n responsable, inform\u00f3 al fabricante del problema y solo public\u00f3 sus hallazgos despu\u00e9s de que Kia corrigiera el error. Sin embargo, mencionaron que han encontrado <\/a>vulnerabilidades similares en el pasado y tienen la seguridad de que seguir\u00e1n descubriendo m\u00e1s en el futuro.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Una vulnerabilidad en el portal web de Kia permit\u00eda piratear los coches y rastrear a sus titulares. Todo lo que se necesitaba era el n\u00famero de identificaci\u00f3n (VIN) del coche o solo el n\u00famero de matr\u00edcula.<\/p>\n","protected":false},"author":2706,"featured_media":27774,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,2737,2738],"tags":[638,1563,3116,3650,5928,37,177,807,38,1871,207,647],"class_list":{"0":"post-27773","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"category-technology","10":"tag-amenazas","11":"tag-coches","12":"tag-coches-conectados","13":"tag-pirateria","14":"tag-pirateria-de-coches","15":"tag-privacidad","16":"tag-proteccion","17":"tag-rastreo","18":"tag-seguridad","19":"tag-vehiculos","20":"tag-vigilancia","21":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/27773\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tracking-and-hacking-kia-cars-via-internet\/28213\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/23468\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/12134\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tracking-and-hacking-kia-cars-via-internet\/28353\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tracking-and-hacking-kia-cars-via-internet\/30513\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tracking-and-hacking-kia-cars-via-internet\/29267\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tracking-and-hacking-kia-cars-via-internet\/38443\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tracking-and-hacking-kia-cars-via-internet\/12916\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/52497\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/tracking-and-hacking-kia-cars-via-internet\/22339\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tracking-and-hacking-kia-cars-via-internet\/23104\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/tracking-and-hacking-kia-cars-via-internet\/31742\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/tracking-and-hacking-kia-cars-via-internet\/28434\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tracking-and-hacking-kia-cars-via-internet\/34307\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tracking-and-hacking-kia-cars-via-internet\/33934\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vehiculos\/","name":"veh\u00edculos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27773","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=27773"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27773\/revisions"}],"predecessor-version":[{"id":27780,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27773\/revisions\/27780"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/27774"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=27773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=27773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=27773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}