Descubren vulnerabilidades en vehículos Kia
Un grupo de investigadores de seguridad ha descubierto un conjunto de vulnerabilidades que podrían permitir a actores maliciosos hackear vehículos Kia fabricados después de 2013 y robar la información personal de los propietarios.
En 2022, un equipo de investigadores, que incluye al hacker Sam Curry, descubrió que funciones clave de los vehículos Kia, como el desbloqueo, bloqueo, arranque y parada, pueden ser accedidas utilizando la matrícula del coche.
Estas funciones pueden ser controladas de forma remota, permitiendo a los actores maliciosos hackear los vehículos Kia y, efectivamente, robarlos.
“Estos ataques podrían ser ejecutados de forma remota en cualquier vehículo equipado con el hardware adecuado en aproximadamente 30 segundos, independientemente de si tenía una suscripción activa de Kia”, dijo Curry.
Además de robar el vehículo, los hackers podrían acceder a la información personal del propietario. Esto incluye:
- Nombres
- Números de teléfono
- Direcciones de correo electrónico
- Direcciones físicas
Además, los actores maliciosos podrían convertirse en un “segundo usuario invisible” del vehículo de la víctima sin su conocimiento.
El grupo creó una herramienta para demostrar lo devastadoras que pueden ser estas vulnerabilidades. Después de 30 segundos, un hacker podría fácilmente ingresar la matrícula del vehículo y desbloquear, arrancar o ejecutar otros comandos.
Un video subido al canal de YouTube de Curry muestra lo fácil que es hackear un vehículo Kia. Sin embargo, los investigadores especificaron que esto solo afecta a ciertos vehículos fabricados después de 2013.
El video muestra a alguien utilizando la herramienta KIAtool desarrollada por los investigadores. La persona ingresa el número de matrícula en la aplicación y ejecuta un comando para explotar el vehículo.
Después de un breve tiempo, la persona puede tomar el control del coche presionando un comando. La herramienta permite al usuario desbloquear el vehículo, y en aproximadamente medio minuto, el Kia estaba abierto.
El informe de Curry incluyó los años y modelos de vehículos afectados por estas vulnerabilidades, que van desde el Sportage SX de 2014 hasta el Carnival EX de 2025.
Sin embargo, estos defectos afectan a cada modelo de manera diferente, ya que no todos los comandos pueden ser ejecutados.
Por ejemplo, el Sorento LX de 2024 es vulnerable a ataques, ya que cinco de cinco comandos pueden ser ejecutados de forma remota. Estos incluyen la geolocalización del vehículo, el bloqueo y desbloqueo remoto, el arranque y parada remoto, la bocina y las luces remotas, y la cámara remota. Todo esto es posible debido a vulnerabilidades en el portal web de Kia.
Según Wired, esto podría dejar millones de vehículos expuestos a ser hackeados y rastreados por actores maliciosos.
Desde entonces, el problema ha sido solucionado y la herramienta KIAtool creada por los investigadores nunca fue lanzada.