Revolución en el robo de automóviles: cualquier modelo de Kia se puede hackear desde un smartphone

Los investigadores de seguridad han descubierto vulnerabilidades críticas en el portal de concesionarios de Kia, que permiten a los delincuentes robar silenciosamente vehículos estacionados de esta marca. Los problemas identificados permiten hackear cualquier modelo de la marca surcoreana fabricado después de 2013, utilizando solo la matrícula del coche.

Por primera vez en 2022, los investigadores de seguridad, incluido el "cazador de vulnerabilidades" Sam Curry, identificaron fallos críticos en los sistemas digitales de más de una docena de marcas de automóviles. En ese momento, las vulnerabilidades permitían a los delincuentes detectar, bloquear, desbloquear e incluso arrancar de forma remota más de 15 millones de automóviles de marcas premium, como Ferrari, BMW, Rolls Royce y Porsche.

Esta vez, Curry informó que las brechas descubiertas el 11 de junio de este año en el portal Kia Connect abrían acceso a la gestión de cualquier vehículo Kia con equipo remoto, incluso si no se había activado la suscripción a Kia Connect.

Además, las vulnerabilidades exponían datos personales de los propietarios de vehículos, incluyendo nombre, teléfono, correo electrónico y dirección física. Los delincuentes también podían agregarse a sí mismos al sistema como un segundo usuario sin el conocimiento del propietario.

Para demostrar el problema, el equipo de investigadores creó una herramienta que permitía, utilizando solo la matrícula, agregar vehículos a su "garaje virtual", y luego bloquear, desbloquear, arrancar o detener el motor de forma remota, hacer sonar la bocina o localizar el coche en el mapa.

Conectándose al portal de concesionarios de Kia ("kiaconnect.kdealer.com"), los especialistas registraron una cuenta privilegiada y generaron un token de acceso válido. Este token permitía activar la API del backend del concesionario, proporcionando información crítica sobre los propietarios de vehículos y control total sobre las funciones remotas de los coches.

Los delincuentes podrían haber utilizado esta API para obtener las siguientes capacidades:

• Generar un token de concesionario y obtenerlo de la respuesta HTTP;
• Acceder al correo electrónico y al número de teléfono del propietario del vehículo;
• Cambiar los derechos de acceso utilizando los datos obtenidos;
• Agregar su propia dirección de correo electrónico a la cuenta del vehículo para controlar el coche de forma remota.

Debido a las brechas identificadas, se podría haber accedido al vehículo de forma no autorizada de manera oculta, ya que el propietario no recibía notificaciones sobre la intrusión ni alertas sobre cambios en los derechos de acceso.

Sin embargo, todas las vulnerabilidades ya han sido corregidas. Según Curry, la herramienta que demostraba el hackeo nunca se publicó en la red, y el equipo de Kia confirmó que las deficiencias detectadas no fueron utilizadas con fines maliciosos.