Un fallo en una web de Kia permite a ciberdelincuentes controlar coches de forma remota usando solo la matrícula. Esta brecha de seguridad permite a los atacantes controlar remotamente varias funciones de los coches usando solo la matrícula. Este fallo, descubierta el 11 de junio de 2024 por un grupo de hackers éticos, expuso la posibilidad de acceso no autorizado tanto a la información personal de los dueños como al control de funciones del vehículo, lo que ha generado serias preocupaciones sobre la ciberseguridad en el mundo de la automoción.
La vulnerabilidad fue identificada por un grupo de investigadores en ciberseguridad que ya había trabajado previamente en detectar fallos de seguridad en diversas marcas de automóviles. Según el informe de Sam Curry, los hackers lograron ejecutar comandos remotos en vehículos Kia equipados con hardware específico en apenas 30 segundos. Lo más preocupante es que no se requería una suscripción activa a Kia Connect, lo que hacía a la vulnerabilidad accesible a una amplia gama de vehículos.
¿Cómo funciona el ataque?
El ataque se basa en la entrada de la matrícula de un vehículo Kia en una herramienta especialmente diseñada. Esta herramienta permitía al atacante ejecutar comandos como bloquear o desbloquear puertas, arrancar o detener el motor, e incluso acceder al sistema de cámaras del vehículo. Además, los atacantes podían recopilar silenciosamente información personal, incluyendo el nombre, número de teléfono, dirección de correo electrónico y dirección física del propietario del vehículo.
El proceso de ataque comienza con una simple solicitud HTTP a la página “owners.kia.com”. Usando solo un número de sesión y el VIN del vehículo, los atacantes podían enviar solicitudes para desbloquear las puertas o incluso arrancar el motor sin ningún tipo de autenticación adicional.
Vehículos afectados
El fallo afectó a varios modelos de Kia a lo largo de distintos años de fabricación. Entre los vehículos afectados se encuentran las versiones 2025 del Carnival EX, SX, LX y Hybrid, así como los modelos K5 y Sportage. La vulnerabilidad permitió comandos remotos como bloquear/desbloquear y arrancar/detener el vehículo, poniendo en riesgo tanto la privacidad como la seguridad de los propietarios.
Modelos afectados:
- 2025 Carnival EX, SX, LX y Hybrid
- 2025 K5
- 2025 Sportage
Los ataques permitieron a los hackers no solo controlar funciones básicas del vehículo, sino también acceder a información privada de los dueños, sin que estos se dieran cuenta.
Las implicaciones de este fallo pueden ser graves, ya que un atacante podía tomar control efectivo de un vehículo sin el conocimiento o consentimiento del propietario. La capacidad de rastrear vehículos y emitir comandos remotos representaba riesgos significativos para la privacidad y la seguridad de los conductores. Además, este tipo de vulnerabilidad pone de relieve las crecientes amenazas a las que se enfrentan los vehículos conectados y cómo la industria automotriz debe adaptarse rápidamente a estos desafíos.
Respuesta de Kia
Tras el descubrimiento de la vulnerabilidad, los investigadores reportaron el problema a Kia, que implementó rápidamente soluciones para corregir los fallos de seguridad. Kia confirmó que no había evidencia de explotación maliciosa de estas vulnerabilidades antes de que fueran parcheadas.
El incidente subraya la importancia del hacking ético en la identificación y mitigación de amenazas potenciales a la seguridad. Los investigadores que participaron en este descubrimiento ya habían trabajado anteriormente en detectar vulnerabilidades en otros fabricantes de automóviles, contribuyendo de manera significativa a la ciberseguridad en el sector automotriz.
A medida que los vehículos se vuelven cada vez más conectados y dependientes de sistemas digitales, es crucial garantizar medidas de ciberseguridad robustas. Los fabricantes deben priorizar la seguridad en sus procesos de diseño y mantenerse vigilantes ante las amenazas emergentes. Este caso de vulnerabilidad en Kia sirve como un recordatorio claro de los riesgos potenciales asociados con los vehículos conectados.