Millones de vehículos podrían ser hackeados y rastreados con un simple bug en un sitio web
Luego de que investigadores de ciberseguridad alertaran a una conocida empresa de automóviles, tal parece que la vulnerabilidad de su sitio web se ha solucionado. Sin embargo, el parcheo que dicha compañía lanzó, está lejos de poner fin a los problemas de seguridad, cuyo origen se rastrea en la web de la compañía automotriz.
Esto se debe a que el error web que usaron para hackear a los vehículos Kia es, de hecho, el segundo de este tipo que han informado a la empresa propiedad de Hyundai, debido a que encontraron una técnica parecida para hackear los sistemas digitales de Kia el año pasado.
Estos errores son solo un par entre una serie de vulnerabilidades graves, basadas en sitios web similares que los expertos han descubierto en los últimos años, los cuales han afectado a automóviles vendidos por grandes empresas, tales como Hyundai y Toyota, entre otras.
Cuanto más han investigado los expertos de seguridad, más evidente se ha hecho que la seguridad web para automóviles es muy deficiente, según los investigadores que descubrieron esta última vulnerabilidad de Kia y que han trabajado con un grupo más grande, responsables de la recopilación anterior de problemas de seguridad web para vehículos.
Lo preocupante es que estos problemas aislados siguen apareciendo una y otra vez, según otro miembro de seguridad contra el hackeo de automóviles, quien trabaja como ingeniero de seguridad para la empresa Yuga Labs. Sin embargo, ha dicho que realizó esta investigación de forma independiente.
Antes de avisar a la empresa de autos acerca de la última vulnerabilidad de seguridad, el equipo de investigación probó la técnica basada en la web con algunos vehículos, descubriendo que dicha técnica funcionaba en todos los casos. Incluso, mostraron el método a algunos portales de medios especializados en el evento de Kia.
Esta técnica de hackeo no puede otorgar a un ciberdelincuente el acceso a los sistemas de conducción, como la dirección o los frenos, o supera el inmovilizador, el cual impide que un vehículo pueda andar, incluso si se enciende el motor. No obstante, el método podría haberse combinado con otros para que los ladrones de coches anulen el inmovilizador y así perpetrar robos de autos de gama baja.
Del mismo modo, en los casos en donde el robo directo de un vehículo no podía hacerse, la falla web podría haber generado oportunidades para robar el contenido del auto en cuestión. Además de crear oportunidades para acosar a los conductores y pasajeros, creando problemas de privacidad y de seguridad.
Si alguien cortaba el paso a un vehículo en el tráfico, podría escanear la matrícula y saber en dónde estaba, además de entrar en el auto. Si los investigadores no hubiesen informado a Kia sobre esta grave vulnerabilidad, cualquier individuo pudiese consultar la matrícula de otra persona para acecharla y acosarla, por ejemplo.
En el caso de los automóviles Kia, vienen con una cámara de 360 grados instalada. Pues bien, esta cámara también era accesible para los hackers maliciosos. Además de permitir el hackeo de funciones conectadas en los propios vehículos, la falla del sitio web permitió a los ciberdelincuentes consultar una amplia gama de información personal acerca de los clientes de este gigante automotriz.
