Millones de vehículos podrían ser hackeados y rastreados gracias a un simple fallo en un sitio web
Los investigadores descubrieron un fallo en un portal web de Kia que permitía rastrear millones de automóviles, desbloquear puertas y arrancar motores a voluntad, el último de una plaga de fallos web que ha afectado a una docena de fabricantes de automóviles.
En el pasado, cuando los investigadores de seguridad encontraban formas de secuestrar los sistemas conectados a internet de los vehículos, sus demostraciones de prueba de concepto solían demostrar, afortunadamente, que hackear autos es difícil. Explotaciones como las que utilizaron los hackers para hacerse con el control remoto de un Chevrolet Impala en 2010, o de un Jeep en 2015, requirieron años de trabajo y trucos ingeniosos: ingeniería inversa del oscuro código de las unidades telemáticas de los autos, envío de software malicioso a esos sistemas a través de tonos de audio reproducidos por conexiones de radio, o incluso la introducción de un disco con un archivo de música cargado de malware en la unidad de CD del automóvil.
Es más fácil de lo que pensábamos
Este verano, un pequeño grupo de piratas informáticos demostró una técnica mucho más sencilla para hackear y rastrear millones de vehículos, tan fácil como encontrar un simple fallo en un sitio web. Hoy, un grupo de investigadores de seguridad independientes reveló que encontró un fallo en un portal web del fabricante de automóviles Kia que permite a los investigadores reasignar el control de las funciones conectadas a internet de la mayoría de los vehículos Kia modernos (decenas de modelos que representan millones de autos en circulación) desde el smartphone del propietario de un automóvil al propio teléfono o a la computadora de los hackers. Aprovechando esa vulnerabilidad y creando su propia aplicación personalizada para enviar órdenes a los vehículos objetivo, fueron capaces de escanear la matrícula de prácticamente cualquier vehículo Kia conectado a internet y, en cuestión de segundos, obtener la capacidad de rastrear la ubicación de ese auto, desbloquearlo, tocar el claxon o arrancarlo a voluntad. Aquí está una prueba, en inglés:
Kia corrigió el fallo
Después de que los investigadores alertaran a Kia sobre el problema en junio, Kia parece haber corregido la vulnerabilidad en su portal web, aunque en ese momento dijo a WIRED que todavía estaba investigando los hallazgos del grupo y no ha respondido a los correos electrónicos de desde entonces. Sin embargo, según los investigadores, el parche de Kia dista mucho de ser el final de los problemas de seguridad de la industria automovilística a través de internet. El fallo web que utilizaron para piratear los Kias es, de hecho, el segundo de este tipo del que informan a la empresa propiedad de Hyundai; el año pasado encontraron una técnica similar para secuestrar los sistemas digitales de los Kias. Y esos fallos son apenas dos de una serie de vulnerabilidades similares basadas en la web que han descubierto en los últimos dos años y que han afectado a automóviles vendidos por Acura, Genesis, Honda, Hyundai, Infiniti y Toyota, entre otros. "Cuanto más investigamos, más evidente resulta que la seguridad web de los vehículos es muy deficiente", destaca Neiko "Specters" Rivera, uno de los investigadores que descubrió la última vulnerabilidad de Kia y trabajó con un grupo más amplio, responsable de la anterior colección de problemas de seguridad web de automóviles revelados en enero del año pasado. "Una y otra vez, estos problemas puntuales siguen apareciendo", de acuerdo con Sam Curry, otro miembro del grupo de piratas informáticos de autos, que trabaja como ingeniero de seguridad para la empresa Web3, Yuga Labs, pero dice que hizo esta investigación de forma independiente. "Han pasado dos años, se ha trabajado mucho y bien para solucionar este problema, pero todavía parece roto".
Leer una matrícula y hackear un automóvil
Antes de alertar a Kia sobre su última vulnerabilidad de seguridad, el grupo de investigación probó su técnica basada en la web en un puñado de Kias (alquilados, autos de amigos, incluso vehículos en lotes de concesionarios) y descubrió que funcionaba en todos los casos. También mostraron la técnica a WIRED, demostrándola en el Kia Soul 2020 de un investigador de seguridad que les habían presentado minutos antes en un estacionamiento de Denver, Colorado, como se ve en el video de arriba. La técnica de pirateo de Kia basada en la web del grupo no permite a un hacker acceder a los sistemas de conducción, como la dirección o los frenos, ni superar el llamado inmovilizador que impide que un auto se ponga en marcha, aunque su encendido esté conectado. Sin embargo, podría haberse combinado con técnicas de desactivación de inmovilizadores muy populares entre los ladrones de autos o haberse usado para robar vehículos de gama baja que no tienen inmovilizadores, incluidos algunos Kias.
Incluso en los casos en que no permitía el robo de un auto, el fallo de la web podría haber creado oportunidades significativas para el robo del contenido de uno, el acoso de los conductores y pasajeros, y otros problemas de privacidad y seguridad. "Si alguien te cortaba el paso en un atasco, podías escanear su matrícula y saber dónde estaba cuando quisieras y entrar en su auto", explica Curry, "si no hubiéramos llamado la atención de Kia sobre esto, cualquiera que pudiera consultar la matrícula de alguien podría básicamente acecharle". En el caso de los Kia que vienen instalados con una cámara de 360 grados, esa cámara también era accesible para los piratas informáticos. Además de permitir el secuestro de funciones conectadas en los propios autos, según Curry, el fallo del portal web también permitía a los piratas informáticos consultar una amplia gama de información personal sobre los clientes de Kia: nombres, direcciones de correo electrónico, números de teléfono, direcciones de casa e incluso rutas de conducción anteriores en algunos casos, una filtración de datos potencialmente masiva. La técnica de pirateo de Kia descubierta por el grupo funciona explotando un fallo relativamente sencillo en el backend del portal web de Kia para clientes y concesionarios, que se utiliza para configurar y gestionar el acceso a las funciones de sus automóviles conectados. Cuando los investigadores enviaron comandos directamente a la API de ese sitio web (la interfaz que permite a los usuarios interactuar con sus datos subyacentes), manifiestan que descubrieron que no había nada que les impidiera acceder a los privilegios de un concesionario de Kia, como asignar o reasignar el control de las funciones de los vehículos a cualquier cuenta de cliente que crearan. "Es realmente sencillo. No comprobaban si un usuario es un concesionario", alerta Rivera, "y eso es un gran problema". El portal web de Kia permitía buscar autos basándose en su número de identificación de vehículo (VIN). Pero los hackers descubrieron que podían encontrar rápidamente el VIN de un vehículo tras obtener su número de matrícula utilizando el sitio web PlateToVin.com. En términos más generales, añade Rivera, cualquier concesionario que usara el sistema parecía tener un control asombroso sobre las características de los vehículos vinculados a una cuenta concreta: "Los concesionarios tienen demasiado poder, incluso sobre los vehículos que no pasan por su concesionario", advierte Rivera.
Una docena de sitios web de fabricantes, millones de autos pirateables
Curry y Rivera, que trabajaron con otros dos investigadores para desarrollar su técnica de hacking, comunicaron sus hallazgos a Kia poco después de mostrarlos a WIRED en junio, y la empresa respondió a una pregunta de WIRED para señalar que estaba investigando sus hallazgos: "Nos tomamos este asunto muy en serio y valoramos nuestra colaboración con los investigadores de seguridad", escribió un portavoz. Poco después de que los investigadores informaran del problema, Kia introdujo un cambio en la API de su portal web que parecía bloquear su técnica, según los investigadores. Posteriormente, en agosto, Kia comunicó a los investigadores que había validado sus hallazgos, pero que seguía trabajando para aplicar una solución permanente al problema. Desde entonces, Kia no ha informado a los investigadores ni ha respondido a las preguntas de WIRED. Sin embargo, una vez transcurrido el plazo estándar de 90 días que se concede a las empresas para solucionar los problemas de seguridad notificados por los investigadores, los piratas informáticos decidieron hacer públicos sus hallazgos, aunque no han publicado su aplicación de prueba de concepto del pirateo de Kia, ni tienen previsto hacerlo.
El grupo de investigación “Kia-hacking” comenzó a reunirse en torno a la idea de sondear los sitios web y las API de los fabricantes de automóviles en busca de vulnerabilidades a finales de 2022. Algunos de ellos estaban en casa de un amigo en el campus de una universidad y jugueteaban con la aplicación de una empresa de scooters cuando accidentalmente hicieron que todos los scooters de la empresa en el campus tocaran el claxon y encendieran las luces durante 15 minutos. A partir de ese momento, el grupo "se interesó mucho por probar otras formas de hacer que más cosas tocaran el claxon", como escribiría Curry, incluidos vehículos más importantes que los scooters. Poco después, Curry descubrió que Rivera, que llevaba tiempo centrado en el pirateo de autos y había trabajado anteriormente en el fabricante de automóviles Rivian, ya estaba buscando vulnerabilidades web en la telemática de los vehículos. En enero de 2023, publicaron los resultados iniciales de su trabajo, una enorme colección de vulnerabilidades web que afectaban a Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce y Ferrari, de las que habían informado a los fabricantes de automóviles. En al menos media docena de estas empresas, los fallos encontrados ofrecían al menos cierto nivel de control de las funciones conectadas de los autos, como en el último ataque a Kia. Otros, dicen, permitían el acceso no autorizado a datos o aplicaciones internas de las empresas. Otros se dirigían al software de gestión de flotas de vehículos de emergencia y podrían incluso haber impedido que esos vehículos arrancaran, creen, aunque no tenían los medios para probar con seguridad ese truco potencialmente peligroso. En junio de este año, según Curry, descubrió que Toyota parecía tener todavía un fallo similar en su portal web que, en combinación con una credencial de distribuidor filtrada que encontró en línea, habría permitido el control remoto de las características de los vehículos Toyota y Lexus como el seguimiento, desbloqueo, bocinazos y encendido. Curry informó de esa vulnerabilidad a Toyota y mostró a WIRED un correo electrónico de confirmación que parecía demostrar que había sido capaz de reasignarse a sí mismo el control de las funciones conectadas de un Toyota a través de la web. Sin embargo, Curry no grabó un video de esa técnica de pirateo de Toyota antes de informar a la empresa, y esta parcheó rápidamente el fallo que había revelado, incluso desconectando temporalmente su portal web para evitar su explotación. "Como resultado de esta investigación, Toyota desactivó rápidamente las credenciales comprometidas y está acelerando las mejoras de seguridad del portal, así como desactivando temporalmente el portal hasta que se completen las mejoras", escribió un portavoz de Toyota a WIRED en junio.
Más funciones inteligentes, más fallos tontos
El extraordinario número de vulnerabilidades en los sitios web de los fabricantes de automóviles que permiten el control remoto de los vehículos es consecuencia directa del afán de las empresas por atraer a los consumidores (sobre todo a los jóvenes) con funciones habilitadas para teléfonos inteligentes, apunta Stefan Savage, profesor de informática de la Universidad de California en San Diego (UCSD), cuyo equipo de investigación fue el primero en piratear la dirección y los frenos de un auto a través de internet en 2010. "Una vez que tienes estas funciones de usuario vinculadas al teléfono, esta cosa conectada a la nube, creas toda esta superficie de ataque de la que no tenías que preocuparte antes", puntualiza Savage. Sin embargo, incluso a él le sorprende la inseguridad de todo el código basado en la web que gestiona esas funciones: "Es un poco decepcionante que sea tan fácil de explotar como lo ha sido", opina.
Rivera afirma que ha observado de primera mano en su tiempo de trabajo en ciberseguridad del automóvil que las empresas automovilísticas a menudo se centran más en los dispositivos "integrados" (componentes digitales en entornos informáticos no tradicionales como los autos) que en la seguridad web, en parte porque la actualización de esos dispositivos integrados puede ser mucho más difícil y dar lugar a retiradas del mercado. "Desde que empecé a trabajar en el sector del automóvil, me di cuenta de que existía una brecha evidente entre la seguridad integrada y la seguridad web", recuerda Rivera, "estas dos cosas se mezclan muy a menudo, pero la gente solamente tiene experiencia en una o en otra". Savage, de la UCSD, espera que el trabajo de los investigadores del hackeo de Kia ayude a cambiar ese enfoque. Muchos de los primeros experimentos de hacking de alto perfil que afectaron a los sistemas integrados de los automóviles, como la toma del Jeep en 2015 y el hackeo del Impala en 2010 llevado a cabo por el equipo de Savage en la UCSD, persuadieron a los fabricantes de automóviles de que necesitaban priorizar mejor la ciberseguridad integrada, comenta. Ahora, las empresas automovilísticas deben centrarse también en la seguridad web, incluso si ello implica hacer sacrificios o cambios en sus procesos. "Me gustaría pensar que este tipo de sucesos hace que la gente se plantee esa decisión con más detenimiento".
