En el pasado, los hackeos de automóviles solían ser complejos y requerían años de investigación. Sin embargo, un grupo de investigadores ha demostrado recientemente que comprometer la seguridad de los sistemas conectados de los vehículos modernos puede ser tan sencillo como encontrar un fallo en una página web. Este verano, un equipo de expertos en seguridad descubrió una vulnerabilidad en el portal web de Kia que permitía tomar control de los sistemas conectados de millones de coches de la marca, una advertencia de los riesgos actuales en la ciberseguridad automotriz.
El grupo de investigadores independientes encontró un fallo en el portal web de Kia, usado por propietarios y concesionarios para gestionar funciones conectadas de los vehículos. Este error permitía a los hackers reasignar el control de dichas funciones desde el smartphone del dueño del coche hacia su propio dispositivo. Mediante una aplicación personalizada, podían realizar acciones como rastrear la ubicación del vehículo, desbloquearlo, hacer sonar la bocina o incluso encender el motor.
Tras alertar a Kia en junio, la compañía corrigió el fallo en su plataforma, aunque afirmó que seguía investigando el problema. No obstante, los investigadores señalan que esta corrección no marca el final de los problemas de seguridad en la industria automotriz. Este es solo uno de muchos errores web que han descubierto en los últimos dos años, afectando a marcas como Acura, Honda, Hyundai, Toyota y más.
Según los investigadores, los problemas de seguridad web en la industria automotriz son comunes. El mismo equipo ya había identificado un fallo similar en los sistemas de Kia el año pasado, y desde entonces han revelado un amplio abanico de vulnerabilidades en otras marcas. Neiko «specters» Rivera, uno de los investigadores, indicó que «la seguridad web para vehículos es muy deficiente», destacando que los problemas parecen repetirse con frecuencia.
Además de la posibilidad de controlar las funciones conectadas de los coches, el fallo en el sistema de Kia también exponía datos sensibles de los usuarios, como nombres, correos electrónicos y rutas de conducción previas, lo que podría haber facilitado robos de contenido o incluso el acecho a los propietarios de los vehículos.
Aunque el método utilizado por los hackers no permite controlar elementos críticos para la conducción como el volante o los frenos, la vulnerabilidad encontrada podría haber sido combinada con otras técnicas para robar vehículos sin sistemas de inmovilización avanzados. Incluso sin permitir el robo del coche, el acceso a funciones conectadas plantea riesgos importantes para la seguridad y privacidad de los conductores.
Sam Curry, otro de los investigadores, advirtió sobre las implicaciones potenciales: “Podrías escanear la matrícula de alguien que te cortó el paso en la carretera y saber dónde está en todo momento para luego entrar en su coche”. También señaló que algunos modelos de Kia con cámaras de 360 grados podrían haber sido hackeados, lo que habría permitido a los atacantes acceder a las cámaras del vehículo.
El problema radica en la diferencia de enfoque que las automotrices han dado a la seguridad web frente a la seguridad de los dispositivos integrados. Rivera, con experiencia en la seguridad cibernética automotriz, observó que las compañías tienden a priorizar la seguridad de los componentes integrados en los vehículos, como las unidades telemáticas, dado que actualizarlos es más complejo y puede llevar a retiradas masivas de vehículos. En cambio, la seguridad de los portales web y las API recibe mucha menos atención, creando un «vacío evidente» entre ambas áreas.
