En HackerCar te venimos contando, desde hace tiempo, acerca de un reto viral en redes donde los ‘desafortunados’ protagonistas eran varios modelos de Hyundai y Kia con una importante vulnerabilidad que permitía arrancarlos de una manera bastante sencilla.
Casi un año después, se conocen las consecuencias económicas que este fallo de ciberseguridad va a tener para que las marcas afectadas le pongan solución.
Allá por el verano del año pasado, nuestro compañero Sergio Álvarez informaba del ‘reto viral’ en TikTok y en el cual una banda que se hacía llamar los ‘Kia Boyz’ había encontrado la manera de robar Kias y Hyundais con un simple cable USB. Una idea que, como era lógico, puso en alerta y supuso todo un quebradero de cabeza para policía, propietarios y las marcas afectadas.
Solo en el mes de julio, esta banda compuesta por jóvenes de entre apenas 14 y 17 años, lograron sustraer cuatro vehículos en apenas un día. Al parecer, los modelos con la clásica llave física para arrancar, son los que más se prestaban a este crackeo de unos delitos que comenzaron en Milwaukee -Estados Unidos- y que supusieron un aumento en las sustracciones de coches de estas marcas de nada menos que un 2.500%.
Para llevar a cabo sus ‘fechorías’, los delincuentes tan solo necesitan el clásico cable de un cargador USB que, en muchas ocasiones, el propio dueño del coche deja en el interior del vehículo. Lo que hacen estos jóvenes crackers es retirar la columna de dirección y desmontar el sistema de contacto.
El cable USB les sirve para girar la llave de ignición y arrancar el coche… en apenas 30 segundos, algo que no se puede hacer en unidades dotadas de botón de arranque y que no dispongan de inmovilizador electrónico. Con todo, cientos de miles de Kia vendidos entre los años 2011 y 2021, así como Hyundai de entre 2016 y 2021 podrían verse afectados.
Hyundai en un principio alegaba que ellos «cumplen o superan los estándares federales de seguridad de vehículos motorizados». Sin embargo, tanto ellos como Kia terminaron pasando a la acción, comenzando por buscar la raíz del problema y proponer actualizaciones del software antirrobo para sus automóviles.
El problema principal radica en que Hyundai y Kia fabricaron, de inicio, estos vehículos sin inmovilizador, que no deja de ser un sistema relativamente simple que evita que el motor de un vehículo se ponga en marcha a menos que reciba una señal de un chip codificado correctamente dentro de la llave legítima de esa unidad. Se estima que alrededor de 8,3 millones de vehículos de Kia y Hyundai podrían haberse visto afectados por este inconveniente.
La cuestión es que, aunque ambas marcas coreanas tratan de ponerle solución a este asunto -lo cual es de alabar, porque reconocen el problema y le quieren dar solución-, intentar poner al día todas las unidades afectadas lleva su tiempo. Lo que se está llevando a cabo es una actualización ‘de software’ para prevenir los robos fáciles.
Cuando el vehículo está bloqueado con el mando a distancia, se activa una función de bloqueo de encendido que solo se desactiva cuando el automóvil es desbloqueado de manera correcta. Aunque esta solución no proporciona una protección tan completa como la del inmovilizador, es suficiente para frustrar los intentos más simples… y quizá más adecuada que lo que se planteó al principio de ofrecer a los usuarios algún tipo de sistema para bloquear las ruedas del vehículo mientras se encuentra estacionado.
Sin embargo, como decíamos, la implementación de esta solución avanza lentamente. Solo el 5% y el 6% de los vehículos de Kia y Hyundai, respectivamente, habrían recibido la actualización instalada a fecha de abril, lo que equivale aproximadamente a unos 435.000 vehículos en total. Además, Hyundai ha reconocido que algunos vehículos sin inmovilizadores de motor no pueden adaptarse a la actualización de software.
Para estos clientes, el fabricante también llevó a cabo un programa para sufragar la compra de dispositivos antirrobo para el volante -en especial a los usuarios de unidades que no pueden instalar la actualización de software- y promete informar de todos los detalles y mejoras que sean incorporadas en los próximos meses. También han planteado ofrecer adhesivos en las ventanas para alertar a los ladrones de que el vehículo tiene protección antirrobo.
Todas estas medidas tienen un coste -y no es bajo-
La última noticia sobre este suceso ha sido de hace apenas unos días: tanto Kia como Hyundai anunciaron el 18 de mayo que habrían llegado a un acuerdo con los afectados para compensar, de forma oficial y grupal, a los más de ocho millones de propietarios afectados; serían, en concreto, unos 200 millones de dólares -unos 185 millones de euros- los que tendrían que invertir las marcas coreanas para solucionar el problema y compensar las pérdidas relacionadas con robos o daños no cubiertos por el seguro a los clientes que se viesen afectados.

Unos afectados que, según el portal Cybernews, habían presentado una demanda colectiva contra Hyundai y Kia a través de las firmas de abogados Hagens Berman Sobol Shapiro, Baron & Budd, Fegan Scott y Humphrey, Farringon & McClain a la cabeza en nombre de los clientes afectados. Por suerte, el acuerdo ha satisfecho a todas las partes; por ejemplo, el director de asuntos legales de Kia América destacó que su marca «está muy complacida por un acuerdo que permitirá que los clientes que se han visto afectados por el robo de vehículos reciban beneficios adicionales».
Aparte del coste reputacional del suceso, hemos visto que casos de este tipo -que se pueden considerar ciberataques- pueden tener un elevado coste económico, lo cual demuestra que es necesario que los vehículos, sean del tipo que sean, consigan una certificación que los acredite como vehículos ciberseguros.