El Chaos Computer Club (CCC), el mayor grupo de hackers europeos, han desvelado una importante vulnerabilidad que ha afectado a más de 800.000 coches de marcas como Volkswagen, Audi, Seat y Skoda.
La filtración ha permitido el acceso a información detallada como la localización precisa de coches y las rutinas de sus propietarios, poniendo en relieve la necesidad de mejorar los mecanismos de cifrado y almacenamiento de datos.
El sistema recogía datos de GPS extremadamente precisas con un margen de error que, en algunos casos, era de unos centímetros
Este problema, que ya se ha solucionado, se debe a una actualización que se implementó en verano con el que cada trayecto empezaba a generar una serie de datos sobre la conducción que se enviaban a la nube. En este proceso, se incluían ubicaciones GPS extremadamente precisas con un margen de error que, en algunos casos, rondaban los 10 kilómetros, mientras que en otros apenas se alejaban unos centímetros.
Asimismo, se recogían también otros datos como el estado de la batería, el encendido y apagado del motor y los hábitos de recarga. Toda esta información permanecía expuesta durante meses sin las protecciones adecuadas en la nube de AWS, de manera que cualquier persona con unos mínimos conocimientos informáticos podría consultarla.
La vulnerabilidad, desvelada por el CCC después de un chivatazo anónimo, y en colaboración con el diario alemán Spiegel, señala que la configuración defectuosa permitía el acceso libre a datos altamente sensibles que permitían el rastreo de la rutina diaria de los conductores, incluyendo horarios de salida y llegada a sus domicilios con las ubicaciones, en muchos casos, precisas.
Para desvelar esta situación, los hackers y el diario alemán han colaborado con dos parlamentarios (Nadja Weippert, de Los Verdes y Markus Grübel de la CDU), para mostrar el alcance real de la filtración, comprobando que se podían registrar las vistas al ayuntamiento local en el caso de Weippert e incluso de la residencia de su padre en el caso de Grübel.
Volkswagen defiende que ya se ha solucionado, pero deja muchas dudas en el aire
Según explican desde Cariad, la filial del Grupo Volkswagen encargada de gestionar el software, el objetivo de recolectar esta información era mejorar la experiencia del cliente y optimizar los servicios de movilidad y recarga de los coches eléctricos. Defienden además que la agregación de datos de posicionamiento y uso permite desarrollar funciones más personalizadas.
Sin embargo, reconocen que la causa de este incidente, que ya se ha resuelto, fue una configuración mal implementada que dejó los datos sin la correcta protección e insisten en que el problema no se debió a un ciberataque tradicional, sino a un descuido en la manera de almacenar y salvaguardar la información generada por los vehículos.
A pesar de que el equipo técnico reaccionó con rapidez para corregir el fallo, no hay constancia de que se haya notificado de manera individual a los usuarios afectados ni de las medidas adoptadas para reforzar la privacidad a largo plazo. Además, se desconoce cuántas personas han podido acceder a esta información y durante cuánto tiempo ha estado accesible.
