Es como dejar un llavero enorme debajo de un felpudo demasiado pequeño
Con estas palabras, Linus Neumann, portavoz de Chaos Computer Club y colaborador con el Bundestag alemán como experto en seguridad informática, ha tratado de explicar lo que ha supuesto la enorme filtración de datos personales de alrededor de 800.000 vehículos eléctricos de Volkswagen.
Un agujero de 800.000 vehículos. La información ha sido publicada por Chaos Computer Club (CCC) y el diario alemán Spiegel. En ambos casos, un anónimo se puso en contacto con ellos para alertarles de que el software de Volkswagen firmado por Cariad presentaba una vulnerabilidad que ha dejado a la vista los datos personales de más de 800.000 vehículos.
Concretamente, los datos filtrados han dejado a la vista el posicionamiento GPS de los conductores, por lo que se ha podido trazar sin problemas los movimientos de todos y cada uno de los coches. El problema, aseguran en CCC, ya ha sido resuelto.
¿Qué ha quedado al descubierto? Señalan en Spiegel que con los datos aportados por la compañía y que estaban al acceso de cualquier persona sin necesidad de que tuviera "grandes conocimientos informáticos", se podía saber dónde había estado cada coche, a qué hora y cuánto tiempo había estado parado. Aseguran que en los modelos de Audi y Skoda afectados el posicionamiento tenía un margen de error de 10 kilómetros pero que en los coches de Volkswagen apenas era de 10 centímetros.
Además, se recopiló y mostró información del estado de la batería en cada encendido y apagado o si el coche ha pasado las revisiones oportunas.
Información extremadamente sensible. "No puede ser que mis datos se almacenen sin cifrar en la nube de Amazon y luego ni siquiera estén suficientemente protegidos". Las palabras son de Nadja Weippert, representante de los Verdes en el parlamento alemán, portavoz de protección de datos de su grupo parlamentario y alcaldesa de Tostedt, recogidas por Spiegel.
En el artículo se explica que la filtración masiva podría haber servido para que cualquiera comprobara dónde vive, a qué hora sale de casa, durante cuánto tiempo conduce cada día o cuánto tiempo está parado su coche. Toda su rutina había quedado visible a ojos de cualquiera que tuviera los conocimientos informáticos suficientes.
Lo mismo le sucedió a Markus Grübel, miembro de la CDU en el parlamento alemán. Como Wieppert, este político alemán ha colaborado con el diario para demostrar los peligros provocados por esta filtración masiva de datos. En su caso también se podía localizar cuándo y por dónde se movía pero, por ejemplo, también quedaban al descubierto las visitas a la residencia donde vive su padre.
Exparejas pero también militares. Efectivamente, entre los casos de uso que Spiegel señala, se menciona que los datos de conducción y aparcamiento han quedado visibles para rastreos y ataques de todo tipo. Se habla de exparejas o de información útil para chantajadores y extorsionadores, pero también se podría haber ido más allá.
En el diario alemán se mencionan casos extremadamente problemáticos. En los datos aportados se podía comprobar qué coches, en qué horarios y durante cuánto tiempo permanecían estacionados junto a edificios especialmente delicados, como los referentes a los de las fuerzas de seguridad. De hecho, se podía rastrear el comportamiento de más de una treintena de coches de policía local.
¿Cómo ha pasado? El origen del problema ha estado en una actualización del vehículo del pasado verano. Entonces, con cada viaje se generaba un paquete de datos relativos a la conducción que se subía a la nube. En ellos se recogía información sensible relacionada con el cómo, cuándo y por dónde se movían los propietarios de 800.000 vehículos eléctricos de Volkswagen pero también de Seat, Audi o Skoda repartidos por toda Europa.
Los datos se han expuesto durante meses sin cifras y con los nombres de los dueños de los vehículos o los responsables de la flota de cada coche. "Espero que Volkswagen lo arregle, recopile menos datos y que, en todo caso, sean anónimos", señalaba Wippert a Spiegel, quien dejaba claro que se podía trazar sin muchos problemas quién circulaba dentro del coche.
¿Para qué se utilizan estos datos? Según Cariad, recopilar los datos de posicionamiento de GPS, así como el estado de la batería, el encendido y apagado del motor o el comportamiento y hábitos de recarga son necesarios para mejorar la experiencia de los clientes y mejorar el producto. El gran objetivo es crear perfiles y caso de uso con unos datos que deberían ser anónimos.
¿Está solucionado? En Xataka nos hemos puesto en contacto con Volkswagen sin obtener respuesta en el momento que escribimos este artículo. Actualizaremos la información con la respuesta aportada.
Desde CCC sí aseguran que Cariad (empresa responsable del software del Grupo Volkswagen) ha solucionado el error de software que ha provocado la filtración. "El equipo técnico de Cariad ha reaccionado de forma rápida, exhaustiva y responsable", ha señalado el grupo especializado en seguridad informática a través de Linus Neumann, su portavoz.
Desde Cariad aseguran que el problema no se debe a una brecha de seguridad y reconocen que el error ha estado en una configuración mal implementada que ha permitido acceder libremente a datos que deberían haber estado protegidos. Aseguran, además, que no es necesario tomar ninguna medida extra de seguridad porque no han quedado expuestas contraseñas ni datos de pago.
Foto | Volkswagen
Ver 35 comentarios