Cibercriminales atacaron a usuarios de esta marca de coches… ¡podían rastrear a los conductores!

| 12:52 | Alfredo Narváez | Kaspersky
Cómo se rastreaban millones de autos Kia
¡Rastreaban los coches de esta marca coreana! | Foto: Pixabay

La empresa de ciberseguridad Kaspersky informó el pasado 5 de noviembre de una vulnerabilidad en el portal web de Kia, fabricante de automóviles de Corea del Sur, que permitía piratear los coches y rastrear a sus titulares gracias al número de identificación vehicular (NIV) del coche o la matrícula.

  • Al momento de la publicación del reporte, la marca coreana había corregido la vulnerabilidad y no se registraron o reportaron casos específicos de ataques en México.

Un error vulnera a los usuarios de coches Kia

Investigadores de Kaspersky descubrieron una vulnerabilidad en el portal web de Kia, que utilizan titulares y distribuidoras de coches Kia. De esta forma, el portal de “Kia Owners” permitía a cualquier persona registrarse como distribuidora.

Imagen: Kaspersky

De esta forma, un atacante podía obtener acceso a funciones que le permitían buscar cualquier coche Kia y acceder a los siguientes datos del titular con solo introducir el número NIV del coche:

  • Nombre
  • Número de teléfono
  • Dirección de correo electrónico
  • Dirección física

Cabe destacar que el NIV es el número de 17 caracteres alfanuméricos que identifican a los vehículos de modelos posteriores al año 1998. Se encuentra normalmente en la parte superior del tablero del vehículo o en el marco de las puertas, generalmente en el lado del conductor, según la Secretaría de Gobernación (Segob).

Imagen: Kaspersky

Tras encontrar el vehículo con el número NIV, los atacantes podían usar los datos de su titular para registrar, en el portal, cualquier cuenta controlada por atacantes como un nuevo usuario del vehículo.

“Desde esta cuenta, se obtiene acceso a varias funciones que suelen estar disponibles solo para cada titular del coche a través de la aplicación móvil“, de acuerdo con Kaspersky.

Todas estas funciones no solo estaban disponibles para la distribuidora que vendió ese coche, sino para cualquier distribuidora registrada en el sistema de la empresa coreana.

[TE RECOMENDAMOS: ¿Tu coche recopila datos sobre ti para venderlos a seguros? Expertos hallan evidencia]

Ataques en cuestión de segundos, según Kaspersky

Los investigadores de la empresa de ciberseguridad desarrollaron una app experimental que podía tomar el control de cualquier coche KIA en segundos, con solo introducir el número de matrícula en los campos de entrada.

La aplicación buscaría el NIV del automóvil a través del servicio y lo usaría para registrarlo en la cuenta de este grupo de investigadores, según Kaspersky.

Después de eso, al pulsar un botón en la aplicación, el atacante obtenía las coordenadas actuales del vehículo, bloquear o desbloquear las puertas, encender o detener el motor o tocar el claxon.

El reporte de Kaspersky precisó que, en la mayoría de los casos, estas funciones no serían suficientes para robar el coche.

Estos son los riesgos para los usuarios de estos coches

Aunque los modelos modernos de Kia “no son de mucho interés para los delicuentes“, pues requieren de la presencia física de la llave para desactivarlos, según la compañía, sí existen riesgos para los usuarios de estos vehículos.

La vulnerabilidad hallada por Kaspersky podría usarse con los siguientes fines maliciosos:

  • Rastrear al titular
  • Robar objetos de valor que quedan dentro del coche
  • Plantar objetos dentro del vehículo
  • Alterar la vida del conductor con acciones inesperadas desde el coche

Cabe señalar que los investigadores siguieron el protocolo de divulgación responsable, informó al fabricante del problema y publicó los hallazgos después de que Kia corrigiera su error.

“Sin embargo, mencionaron que han encontrado vulnerabilidades similares en el pasado y tienen la seguridad de que seguirán descubriendo más en el futuro”, remató Kaspersky.

¡Advierten por los peligros de coches demasiado conectados!

La compañía de seguridad digital reconoció que, en las últimas dos décadas, los coches se han convertido en “computadoras sobre ruedas“, con sensores, sonares, cámaras, detectores de movimiento y GPS.

“Desde los últimos años, estos equipos están conectados a Internet todo el tiempo, con todos los riesgos que ello implica”.

Kaspersky

Los coches actuales son capaces de recopilar grandes cantidades de datos sobre sus titulares y enviárselos a sus fabricantes, los cuales venden los datos recopilados a otras empresas, particularmente a aseguradoras, según reportes previos de la propia empresa.

“Una conexión constante a Internet significa que, si hay vulnerabilidades, alguien podría aprovecharlas para piratear el sistema del coche y rastrear a su titular, sin que el fabricante lo sepa”, remató Kaspersky.

Etiquetas: ,