Un grave bug en el portal web de Kia permitió a un equipo de expertos en ciberseguridad controlar millones de vehículos de forma remota. La vulnerabilidad, localizada en la infraestructura web del fabricante surcoreano, posibilitó a los hackers desbloquear, encender y rastrear vehículos... y para ellos les bastó con conocer un número de matrícula.

El pasado junio, un equipo de investigadores descubrió que un simple error en la plataforma web de Kia permitía el acceso no autorizado a millones de vehículos modernos. Descrita por el investigador Neiko Rivera como una vulnerabilidad propia de una "seguridad web muy pobre", ésta dejaba expuestos diversos modelos de Kia vendidos en los EE.UU. a toda una serie de amenazas...

...los hackers podían desbloquear puertas, encender motores e incluso rastrear el paradero de los vehículos con solo introducir el número de matrícula en una aplicación personalizada que desarrollaron como prueba de concepto.

Dicha aplicación funcionaba utilizando comandos directos a la API de Kia, una interfaz de software que permite a los clientes interactuar con las funciones del vehículo a través de Internet. En tan sólo unos segundos, podían encontrar un coche, abrirlo y encenderlo.

Los investigadores además lograron extraer información personal del propietario del vehículo, como su nombre, número de teléfono, dirección de correo electrónico y dirección residencial.