Volkswagen (VW) enfrenta un nuevo problema de seguridad: los datos de movimiento de 800 000 coches eléctricos y la información de contacto de sus propietarios (incluyendo políticos, empresarios y empleados del servicio secreto) quedaron desprotegidos, lo que posibilitó ver detalles sensibles como dónde y cuándo aparcaban sus coches e información de localización precisa de 460 000 vehículos, que permitió deducir aspectos de la vida personal de los conductores.
El problema afectó a vehículos VW, Seat, Audi y Skoda en Alemania, otros países de Europa y otras partes del mundo.
Esta vulnerabilidad fue particularmente valiosa para criminales y chantajistas, pues permitía la generación de perfiles detallados y exponía información sensible, como ubicaciones frecuentes y hábitos personales. Los datos se podían utilizar para estafas y chantajes.
El fallo se debió a un error de la filial de VW, Cariad, y fue descubierto por un denunciante que lo compartió con el Chaos Computer Club (CCC) y Spiegel. La filtración de datos es considerada una vergüenza para VW, especialmente por su desactualización en software y seguridad de datos privados.
Nadja Weippert, representante de los Verdes y portavoz de protección de datos, y Markus Grübel, diputado de la CDU, expresaron su sorpresa y preocupación, y pidieron que VW dejara de recopilar datos innecesarios y los anonimizara.
El CCC informó a Cariad sobre la vulnerabilidad, y Cariad respondió rápidamente para resolver el problema. La vulnerabilidad fue fácil de explotar utilizando herramientas informáticas de libre acceso, lo que permitió a los atacantes acceder a datos de vehículos almacenados en la nube de Amazon.
Los datos incluían, además, información precisa sobre el estado de carga de la batería, el estado de la inspección y las posiciones GPS de los vehículos cuando se apagaban los motores eléctricos. Además, se encontraron datos de acceso que permitieron vincular la información del vehículo a perfiles personales de los propietarios, incluidos correos electrónicos, direcciones y números de teléfono móvil.
Linus Neumann del CCC comparó la situación con «un enorme manojo de llaves debajo de un felpudo demasiado pequeño», y destacó la falta de medidas de seguridad adecuadas para proteger estos datos sensibles.
Cariad explicó que recopila datos seudonimizados sobre el comportamiento y los hábitos de carga de los clientes para mejorar las baterías y el software asociado. La empresa subraya que los datos nunca se combinan de manera que permita identificar a personas individuales. Sin embargo, investigadores de seguridad lograron hacerlo eludiendo varios mecanismos de seguridad. Cariad calificó el problema como una «mala configuración» y afirmó que no tienen evidencia de uso indebido de datos por parte de terceros.
El problema va más allá
El problema de seguridad se extiende más allá de Cariad y el Grupo VW, ya que muchos automóviles modernos recopilan grandes cantidades de datos. Un estudio del ADAC mostró que vehículos de BMW, Renault y Mercedes recopilan y transmiten datos detallados. La Fundación Mozilla también descubrió que los coches modernos son una «pesadilla para la privacidad» por la excesiva recolección de datos.
Otros fabricantes también enfrentan problemas de seguridad. Un hacker demostró cómo acceder a cuentas de empleados y concesionarios de BMW, y descubrió fallos en KIA que permitían desbloquear y arrancar vehículos de forma remota. El conocido «hackeo del Jeep» en 2015 expuso la capacidad de controlar remotamente la electrónica de vehículos.
La propiedad de los datos del vehículo sigue siendo un tema de debate. La UE pondrá en marcha en septiembre de 2025 la nueva ley de datos, que otorga a los propietarios de automóviles más control sobre sus datos. Los fabricantes tendrán que proporcionar acceso fácil y gratuito a los datos generados por los vehículos.
Fuente: https://goo.su/jWWEs
░ Foto de Nubia Navarro (nubikini) en Pexels
