El portal de licencias de la Federación Internacional del Automóvil (FIA) fue hackeado por tres piratas cibernéticos, que revelaron el acto en redes sociales. El hecho se produjo el 3 de junio pasado y el máximo organismo del automovilismo mundial cerró el caso una semana más tarde, después de alcanzar un acuerdo con los atacantes, cuyos nombres serían Gal Nagli, Sam Curry e Ian Carroll y que confesaron ser aficionados de la Fórmula 1 y que el asalto no tenía intenciones maliciosas, si no sacar a la luz los puntos débiles de los sistemas de la FIA y que se fortifique la plataforma. El tetracampeón Max Verstappen fue espiado.

La FIA admitió la filtración en la Ciudad de México, donde el viernes comenzará la actividad en el autódromo Hermanos Rodríguez, de la 20ª fecha del calendario que lidera el australiano Oscar Piastri (McLaren). Un portavoz confirmó la acción y más tarde compartió un comunicado, según informó el sitio motorsports.com. “La FIA tuvo conocimiento de un incidente cibernético con el sitio web de Categorización de Pilotos e informó de este episodio a las autoridades pertinentes de protección de datos, de acuerdo a sus obligaciones. La FIA también notificó al pequeño número de pilotos afectados por el ataque. Ninguna otra plataforma digital de la FIA se vio afectada”, rezó la nota a la que tuvieron acceso los medios de prensa en el circuito.

Los pilotos de la F.1 para correr tienen que estar avalados por la superlicencia, pero en otras categorías, como el Mundial de Resistencia (WEC), la categorización se divide en tres segmentos, como oro, plata y bronce. Esa categorización se gestiona en una pestaña de la página de la FIA, en el que los pilotos pueden solicitar que se rebaje su categoría. José María Pechito López es el piloto platino del equipo Akkodis ASP en LMGT3 y sus compañeros de tripulación son Clemens Schmid (plata) y Petru Umbrarescu (bronce).

El procedimiento de los hackers, según se detalló en una charla informal, comenzó tras crear un perfil y luego descubrieron a través de Javascript que era posible ajustar su rol. El sitio de la FIA tiene varias funciones que define los permisos y las capacidades de un usuario, determinando qué acciones se pueden ejecutar: editar contenidos, gestionar usuarios o simplemente navegar el sitio. Es un modo de clasificar a los usuarios en grupos con distintos niveles de acceso para garantizar la seguridad y el correcto funcionamiento del sitio.

Entre los roles diferentes los hackers observaron que podían tener control sobre pilotos, empleados de la FIA y administradores, siendo éste último el más interesante, porque desde ahí intentaron cambiar el perfil a administradores. Al iniciar la nueva sesión tuvieron un acceso completo a un panel en el que la FIA tiene el poder de clasificar a todos los pilotos. Para confirmar que la maniobra era exitosa, apuraron acceder al perfil de un piloto y comprobaron que podían ver el hash de la contraseña –una clave o cadena de caracteres en otro valor con fines de seguridad-, la dirección de correo electrónico, el número de teléfono y el pasaporte…

También estaba disponible la comunicación interna entre la FIA y el piloto en cuestión sobre la categorización. Así descubrieron que en el sistema tenían acceso a todos los pilotos de F.1 y husmearon el pasaporte de Verstappen. Los hackers subrayaron que no escudriñaron ninguna información considerada sensible de los pilotos.

Consumado el hackeo, la FIA fue notificada y los propios piratas cibernéticos cooperaron para que se tomaran medidas. La primera acción fue desconectar el sitio durante una semana, y el 10 de junio la FIA informó que el sistema estaba nuevamente en funcionamiento y que las filtraciones fueron solucionadas en su totalidad.

“La FIA hizo una fuerte inversión en ciberseguridad y tomó medidas para todas las plataformas digitales. Las mismas son de del más alto nivel para proteger los datos de todas las partes interesadas. Estamos aplicando una política de “seguridad por diseño” para todas nuestras nuevas iniciativas digitales”, informó la Federación Internacional del Automóvil, tras revisar todo el sistema de seguridad informática, con la colaboración de los hackers.