La ciberseguridad en el sector de la automoción vuelve a ser noticia tras conocerse que el Grupo Volkswagen sufrió una fuga de datos masiva relacionada con más de 800.000 coches eléctricos de sus marcas VW, Seat, Audi y Skoda. El incidente se produjo por un error de configuración en Amazon Web Services, según informó la revista Der Spiegel. A raíz de esta brecha, se pudo acceder, entre otros, a información de contacto de propietarios y a datos de posicionamiento de los vehículos.
Aunque el fallo dejó expuestas direcciones de correo, números de teléfono e incluso la localización exacta de los coches estacionados, los detalles han sido manejados bajo un proceso de responsible disclosure, liderado por el Chaos Computer Club (CCC). Gracias a ello, parece que el problema se ha resuelto con rapidez y, hasta la fecha, no hay pruebas de que agentes malintencionados hayan accedido o comercializado estos datos.
Lógicamente, cabe la posibilidad de que en un futuro próximo aparezcan estos datos a la venta en alguno de los foros de la Dark Web dedicados a la comercialización de estos «activos». De ocurrir, sería catastrófico tanto para la filial de informática, Cariad, como para el propio grupo Volkswagen.
Según la información de Der Spiegel, implicado desde el principio en el seguimiento y parcheo de la vulnerabilidad, lo que estaba «a la vista» era la información completa de todas las aplicaciones de servicios remotos de las marcas de Volkswagen. Eso implica saber donde ha estado cada coche en cada momento, así como toda la información de sus propietarios.
Además, lejos de ser una hipótesis, Chaos Computer Club realizó demostraciones de la vulnerabilidad a responsables de Volkswagen, así como a empleados de Der Spiegel y del Gobierno alemán, ilustrando sus recorridos, paradas habituales, información introducida en la app, etc.
Este suceso no es un caso aislado en la industria del automóvil, pero sí pone de relieve un punto crucial: la cadena completa de custodia de los datos resulta tan importante como la propia ciberseguridad del vehículo. Basta con un eslabón débil, en ocasiones ajeno por completo al fabricante, para que la información personal quede expuesta.
Una brecha con miles de afectados
El incidente, que salió a la luz hace apenas unos días, afectó a conductores de toda Europa y otras partes del mundo. Según la fuente original (Der Spiegel), la base de datos en la nube contenía terabytes de información sin la protección adecuada, incluyendo la vinculación exacta entre un coche, su posición de aparcamiento y el nombre de su propietario.
El CCC, que recibió el soplo, se puso en contacto con Cariad, la filial del Grupo VW encargada de desarrollar el software de los coches eléctricos. De inmediato, se corrigió el fallo y se emprendieron acciones para reforzar los controles, impidiendo futuros accesos indebidos. En la práctica, el ataque no requería de grandes conocimientos técnicos, puesto que la información se encontraba alojada en un servidor mal configurado.
Pese a lo aparatoso de la noticia, la propia VW asegura que no existen indicios de que estos datos hayan llegado a manos de actores malintencionados. De hecho, el gigante alemán insiste en que han extremado sus sistemas de supervisión, reforzando así una lección aprendida en un ámbito de continua evolución y con alto riesgo de exposición.
El verdadero punto débil: la cadena de custodia
El problema no radica tanto en la seguridad del vehículo en sí, sino en el ciclo completo que siguen los datos: desde que se recogen en el coche hasta que llegan a la nube. Esta vez fue un simple error humano –o “mala configuración”– el que dejó a la vista información sensible. Mañana podría ser un proveedor externo o un servicio de terceros el eslabón más débil de la cadena.
La realidad es que, en un coche moderno, se recogen miles de datos: localizaciones, hábitos de carga de la batería, información de conducción, etc. Muchos fabricantes los emplean para mejorar la experiencia de usuario o el rendimiento de sus vehículos, pero el descontrol en cómo se almacenan y transmiten puede derivar en filtraciones con consecuencias graves.
El caso del Grupo Volkswagen pone el foco en la importancia de supervisar cuidadosamente todos los enlaces de la cadena de custodia de los datos.
En opinión de Autofacil…
Queremos tranquilizar a los conductores: según las evidencias actuales, nadie más allá del CCC ha tenido acceso a la información y se han tomado medidas inmediatas para sellar la brecha. La rápida intervención de los expertos demuestra que el proceso de responsible disclosure funciona y puede evitar mayores daños a los usuarios.
