Tres aficionados a la Fórmula 1 hackearon la Federación Internacional del Automóvil (FIA) y encontraron una grave vulnerabilidad en el sistema de licencias de la federación
La FIA ha confirmado que unos hackers tuvieron acceso temporal a los datos del portal de licencias de piloto de la organización, entre los que se encontraba el pasaporte de Max Verstappen. La brecha de seguridad ya se ha solucionado en colaboración con los hackers.
El incidente tuvo lugar en verano, cuando tres hackers —Gal Nagli, Sam Curry e Ian Carroll— penetraron en el «Driver Categorisation Portal» de la FIA. Aunque el acceso se produjo hace ya varios meses, los hackers no han hecho público su descubrimiento hasta esta semana a través de las redes sociales.
El grupo, formado en su totalidad por aficionados a la Fórmula 1, subrayó que no tenía ninguna intención maliciosa. Su objetivo era descubrir puntos débiles en la infraestructura informática de la FIA para hacer «más seguro todo el ecosistema».
Acceso al sistema de clasificación de pilotos
El área afectada era el sistema con el que la FIA gestiona las clasificaciones de los pilotos. Mientras que los pilotos de Fórmula 1 necesitan una superlicencia, para otras series de carreras, especialmente en las de resistencia, es decisiva la clasificación en oro, plata o bronce.
La FIA gestiona estas clasificaciones a través del portal, donde los pilotos también pueden solicitar un cambio de estatus, por ejemplo, de oro a plata, lo que puede ser una ventaja en series con pilotos de plata obligatorios.
Los derechos de administrador elevados permitieron el acceso a los datos
Los hackers crearon primero un perfil en el portal de la FIA y, con ayuda de Javascript, descubrieron que podían cambiar su rol de usuario. El sistema distinguía entre pilotos, empleados de la FIA y administradores, estos últimos con los mayores derechos.
Mediante una solicitud especial, lograron aumentar sus derechos de acceso al nivel de administrador. Tras volver a iniciar sesión, se les abrió una interfaz de usuario completamente diferente, que incluía el panel interno de la FIA para la clasificación de pilotos.
Para comprobar el acceso, descargaron un único perfil de piloto a modo de prueba. Se les mostraron la contraseña, la dirección de correo electrónico, el número de teléfono, los datos del pasaporte y las comunicaciones internas entre la FIA y el piloto.
En el sistema también figuraban todos los pilotos de Fórmula 1. Los hackers se dieron cuenta de que, en principio, se podían consultar los datos del pasaporte de Max Verstappen. Sin embargo, subrayaron expresamente que en ese momento dieron por terminadas sus pruebas y no consultaron ni almacenaron ninguna información sensible.
La FIA reaccionó de inmediato
Tras descubrir la vulnerabilidad el 3 de junio, los hackers informaron inmediatamente a la FIA. La federación retiró la página ese mismo día y colaboró con el grupo para encontrar una solución sostenible. El 10 de junio, la FIA confirmó que el error había sido corregido.
Un portavoz de la FIA declaró en México a Motorsport.com: «La FIA tuvo conocimiento en verano de un incidente cibernético relacionado con la página web de clasificación de pilotos. Se tomaron medidas de inmediato para proteger los datos de los pilotos».
«La FIA notificó el incidente a las autoridades de protección de datos competentes, de conformidad con sus obligaciones, e informó a los pocos pilotos afectados. Otras plataformas digitales de la FIA no se vieron afectadas».
Además, añadió: «La FIA ha realizado importantes inversiones en ciberseguridad y medidas de resiliencia. Cuenta con las medidas de seguridad de datos más avanzadas para proteger a todas las partes implicadas y aplica una estrategia coherente de seguridad desde el diseño en los nuevos proyectos digitales».
El caso subraya la importancia que han adquirido las medidas de seguridad informática incluso para grandes federaciones deportivas como la FIA.
