Ya enfrentando vientos en contra significativos, VW ahora se ha visto en el golpe de una pesadilla de protección de datos. Los datos de ubicación de 800.000 vehículos eléctricos y la información de contacto de los propietarios eran accesibles sin protección en Internet. Y la empresa ni siquiera lo sabía.
Cuando Nadja Weippert comenzó a operar su nuevo VW ID.3 en septiembre pasado, inmediatamente descargó la aplicación Volkswagen. Permite a los conductores precalentar sus coches, ver el nivel de batería y comprobar el alcance restante. La aplicación es necesaria para aprovechar todas las comodidades del coche.
El hombre de 41 años probablemente echa un vistazo más de cerca a las disposiciones de protección de datos de la aplicación que a muchos otros. Después de todo, no solo es miembro del Partido Verde en el parlamento estatal de Baja Sajonia, también es la portavoz de su grupo para cuestiones de protección de datos. Más allá de eso, también es alcaldesa de Tostedt, una comunidad entre Hamburgo y Bremen.
Después de descargar la aplicación, su coche aparentemente comenzó a recopilar datos y transferirlos al fabricante de automóviles, incluidas las coordenadas GPS precisas de donde sea que estacionó, cada vez que se apagó el motor. El resultado fue un conjunto de datos que podría usarse fácilmente para producir un perfil de movimiento preciso de su vida cotidiana.
Los tiempos desde cuándo hasta cuando un coche está aparcado, como durante la noche
Por razones de protección de datos, la información presentada en este gráfico es puramente ficticia, producida sobre la base de datos originales para los fines de esta ilustración.
El coche de la política a menudo estaba aparcado frente al ayuntamiento de Tostedt y el edificio del parlamento de Baja Sajonia, pero los datos también podían usarse para identificar su club deportivo, su panadería favorita y la práctica de su fisioterapeuta, además de los detalles de su viaje de dos días a Oldenburg para la conferencia estatal de su partido.
Datos de alrededor de 800.000 coches electrónicos
Markus Grübel, miembro del parlamento federal de los demócratas cristianos de Esslingen am Neckar, tuvo una experiencia similar. Introdujo el nombre de pantalla «Kussi» en la aplicación. Su coche estaba aparcado ocasionalmente frente a la casa de retiro donde vive su anciano padre, y a veces en una base militar, en función de que él fuera miembro del Comité de Defensa del Bundestag. Fue secretario de estado en el Ministerio de Defensa hasta 2018. Unas breves vacaciones en la región de Allgäu la primavera pasada también se reflejan en los datos de su coche.
Ninguna de esta información debería estar disponible públicamente. Pero lo fue. Varios terabytes de datos en gran parte desprotegidos de alrededor de 800.000 vehículos eléctricos fueron accesibles en un servicio en la nube de Amazon durante varios meses. Los coches fabricados por VW, Seat, Audi y Skoda y conducidos en Alemania, en otras partes de Europa y en otras partes del mundo se vieron afectados, al imos que muchos de sus propietarios.
Gran parte de los datos del vehículo se pueden vincular a los nombres y la información de contacto de los conductores, propietarios o administradores de flotas. Los datos precisos de ubicación se pueden ver para 460.000 vehículos, proporcionando pistas sobre la vida de sus propietarios, como los dos políticos.
En toda Europa
Vehículos afectados por la filtración de datos, por país de registro
Alemania
300.000
Noruega
80.000
Suecia
68.000
Reino Unido
63.000
Países Bajos
61.000
Francia
53.000
Bélgica
38.000
Dinamarca
35.000
Suiza
22.000
Austria
20.000
Los 10 principales países, valores redondeados.
Y todo surgió porque la filial de VW Cariad, una empresa que emplea a miles de desarrolladores de software y originalmente establecida para construir una plataforma pionera para todos los vehículos eléctricos de la compañía, cometió un error el verano pasado, y nunca se dio cuenta.
Es más que un error vergonzoso para una empresa que ya se enfrenta a vientos en contra significativos. Es una desgracia. Una metedura de pata devastadora con el software de la compañía, un área en la que VW ya está muy por detrás de la competencia, y una que involucra la seguridad de los datos privados, que a Alemania le gusta considerar como una ventaja nacional en relación con las regulaciones mucho más laxas en los Estados Unidos.
Un informante compartió la grave violación de datos con el Chaos Computer Club y DER SPIEGEL. Nadja Weippert y Markus Grübel dieron su permiso para que los reporteros echaran un vistazo más de cerca a los conjuntos de datos de sus coches.
«Estoy sorprendido», dijo Weippert cuando DER SPIEGEL le presentó sus datos de ubicación de los últimos meses. Como política estatal y local, en ocasiones ha sido objeto de animosidad y amenazas. «Es inaceptable que mis datos se almacenen sin cifrar en la nube de Amazon sin protecciones adecuadas», dice. «Espero que VW lo detenga, que recopile menos datos en general y que anonimice absolutamente lo que recopilan».
Grübel también considera que la violación de datos es «exasperante y vergonzosa», y agrega que no aumenta exactamente la confianza en la industria automotriz alemana. «Particularmente con respecto a la conducción autónoma y la posibilidad de ciberataques manipuladores en esa tecnología, la experiencia en TI del fabricante claramente todavía necesita mejorarse significativamente».
Datos valiosos para estafadores y chantajeadores
Los informes de DER SPIEGEL han encontrado que otras víctimas incluyen políticos adicionales, ejecutivos de empresas, presuntos agentes de inteligencia e incluso la policía de Hamburgo, que tiene alrededor de 35 vehículos eléctricos en su flota. Es probable que muy pocos de ellos sospechen lo transparentes que los han hecho sus automóviles.
Para alrededor de la mitad de los afectados, incluidos los propietarios de los modelos VW ID.3 e ID.4, los datos son particularmente detallados. Para esos vehículos, se puede ver cuándo se encendieron y exactamente cuándo y dónde se apagaron. La mayoría de los datos son de 2024, aunque algunos de ellos son más antiguos.
Los delincuentes o espías podrían utilizar dichos datos para crear un perfil de movimiento detallado de los propietarios de automóviles. Para las agencias de inteligencia extranjeras, por ejemplo, puede ser interesante ver qué coches están estacionados diariamente entre las 8 a. m. y las 5 p. m. cerca de edificios pertenecientes al Bundesnachrichtendienst, el servicio de inteligencia exterior de Alemania. O aquellos que son conducidos regularmente a los EE. UU. Base de la Fuerza Aérea en Ramstein. Los datos de la cariada proporcionaron dicha información.
Ni siquiera es necesario dar los saltos lógicos de fe comunes en los thrillers de espías. Los datos facilitarían a los estafadores la redacción de correos electrónicos de phishing creíbles, presentándose como representantes de Volkswagen, proveedores o subsidiarias para acceder a los detalles de la tarjeta de crédito de un cliente u otra información de pago. Los chantajeadores podrían apuntar a los propietarios de vehículos que se estacionan regularmente en el lote del burdel de Berlín Artemis o en una prisión o centro de adicciones.
Los acosadores o exparejas celosas podrían haber visto dónde y cuándo alguien pasa la noche. Debido a que los movimientos de vehículos en Ucrania e Israel también estaban documentados, los datos podrían incluso ser de interés militar, dependiendo de si un objetivo potencial estaba al volante.
Elogios del CCC
Cuando el Chaos Computer Club (CCC) se enteró de la violación de datos, dos portavoces del club, Linus Neumann y Matthias Marx, se pusieron en contacto con Cariad con información y detalles técnicos. También escribieron a la sede de la compañía VW, al comisionado de protección de datos de Baja Sajonia, al Ministerio del Interior alemán y a otras agencias de seguridad.
Durante los últimos años, el CCC ha estado actuando como intermediario, informando de las vulnerabilidades de seguridad de TI a los responsables cuando tales violaciones son llamadas a su atención, sin interés financiero y únicamente con el objetivo de aumentar la seguridad de TI en general. El CCC dio a la empresa 30 días para hacer que los datos sean inaccesibles para personas no autorizadas, después de lo cual el club informaría y advertiría al público.
Cariad respondió en solo unas horas y ni siquiera intentó minimizar la gravedad del error. El equipo responsable de los problemas de seguridad expresó su gratitud y pidió detalles adicionales. Desde entonces, la brecha se ha cerrado. «El equipo técnico de Cariad respondió de forma rápida, exhaustiva y responsable», dice el portavoz de CCC, Neumann.
Antes de que se corrigiera el lapso, un equipo de DER SPIEGEL formado por expertos en TI y periodistas pudo examinar la vulnerabilidad. Ni las agencias de inteligencia ni los competidores de VW, los delincuentes o incluso los adolescentes aburridos habrían encontrado particularmente difícil acceder al tesoro de información.
Todo estaba allí, solo tenías que saber dónde buscar. No se necesitaba nada especial más allá de un par de programas informáticos disponibles gratuitamente que forman parte de la caja de herramientas estándar para hackers criminales y profesionales de TI por igual.
Esas herramientas, para poner las cosas en términos sencillos, hicieron posible encontrar el camino a través de sitios de Internet y subsitios de Cariad con adivinanzas sistemáticas, incluso si algunos de esos sitios pueden ser invisibles para usuarios normales. El enfoque hace visibles las vías que conducen directamente a ciertos tipos de archivos, cuyos finales hicieron evidente que podría ser de naturaleza sensible. Una de estas vías básicamente condujo a una copia del volcado de memoria en tiempo real de una aplicación interna de Cariad. Dichos datos nunca deben estar en Internet de acceso abierto, o al menos no sin protección con contraseña. Los programas y procesos de seguridad modernos deberían ser capaces de identificar tal violación. Pero debido a que ese no era el caso de Cariad, los atacantes habrían podido simplemente descargar y abrir el volcado de memoria. Contenía la información de acceso fácil de encontrar a un servicio en la nube de Amazon.
El propio servicio en la nube contenía los datos relacionados con los vehículos individuales, fácilmente reconocibles por las etiquetas de los niveles de batería, el estado de la inspección y las categorías «motor encendido» y «motor apagado», y esta última categoría también incluye, además del tiempo, las coordenadas geográficas del vehículo cuando se apagó el motor eléctrico. En el caso de los modelos VW y Seat, estos geodatos eran precisos hasta 10 centímetros, mientras que para Audis y Skodas, eran precisos solo hasta 10 kilómetros, lo que los hacía menos problemáticos.
Se pueden encontrar datos de acceso adicionales en otro lugar, esta vez para un servicio propietario de VW. Usando el servicio, los propietarios de automóviles podían configurar un perfil personal en una aplicación y vincularlo a su vehículo. Estos datos de acceso hicieron posible ver la base de datos de VW de todos los usuarios registrados y vincular a los usuarios con el primer conjunto de datos de automóviles. Como resultado, los perfiles de movimiento detallados podrían coincidir con personas específicas, incluidas las direcciones de correo electrónico y, en algunos casos, la dirección de casa y los números de teléfono móvil. Linus Neumann del CCC lo comparó con «un llavero gigantesco escondido debajo de una pequeña alfombra de bienvenida».
Una «Configuración Incorrecta»
Pero, ¿por qué Cariad recopila todos estos datos en primer lugar? En respuesta a una consulta de DER SPIEGEL, la compañía dijo que «los datos anónimos relacionados con los patrones de carga de los clientes y los hábitos de carga se utilizan para mejorar las baterías y el software de la batería». Cariad insiste en que la compañía nunca compara los datos «de una manera que se puedan sacar conclusiones sobre personas individuales o perfiles de movimiento desarrollados».
La compañía dice que los expertos en TI que examinaron los datos solo pudieron crear tales perfiles de movimiento a través de «la elusión de numerosos mecanismos de seguridad» que requieren «un alto grado de conocimiento experto y un tiempo significativo gastado además de la combinación de varios conjuntos de datos». En lugar de llamarlo una brecha de seguridad, la compañía prefiere hablar de una «configuración incorrecta». La compañía aún no ha completado su análisis del incidente, pero dice que «hasta donde sabemos, nadie más que el CCC ha accedido a los sistemas, y no tenemos indicios de ningún mal uso de datos por parte de terceros».
Para los clientes, «no hay necesidad de hacer nada, ya que no se vieron afectados datos confidenciales como contraseñas o información de pago». Sin embargo, pueden «decidir libremente si desean utilizar productos y servicios que requieran el procesamiento de datos personales. Todos los vehículos con funciones en línea ofrecen la opción de desactivarlos en cualquier momento».
El incidente va mucho más allá de Cariad y VW. Muchos coches modernos contienen un número de sensores de tres cifras y recopilan una gran cantidad de datos. Por lo general, solo los propios fabricantes de automóviles saben exactamente qué información se recopila y cuánto.
Un muestreo aleatorio tomado por la ADAC, la asociación de asistencia en carretera de Alemania para propietarios de automóviles, que involucra a cuatro modelos de BMW, Renault y Mercedes encontró que los vehículos Mercedes Clase B, por tomar un ejemplo, comunican su ubicación actual a Mercedes cada dos minutos. La información adicional reportada incluye la lectura del odómetro, el nivel de combustible, la presión de los neumáticos y el número de cinturones de seguridad que se utilizan, toda la información que se puede utilizar para sacar conclusiones sobre el estilo de conducción. El BMW i3 analizado en el estudio transfiere una serie de puntos de datos cada vez que se apaga, incluida información detallada sobre la batería, además de las ubicaciones de las 16 estaciones de carga utilizadas anteriormente.
La sin fines de lucro Mozilla Foundation, que promueve el software libre y es más conocida por su navegador Firefox, examinó las prácticas de recopilación de datos de 25 fabricantes de automóviles en 2023. Es una conclusión cruda: «Los coches modernos son una pesadilla de privacidad».
Según la fundación, todas las marcas examinadas recopilan más datos de los necesarios, y el 76 por ciento de ellas dijo que estaba en condiciones de revender dichos datos. Además, el 68 por ciento de las marcas estudiadas han experimentado hackeos, incidentes de seguridad o fugas de datos en los últimos tres años. Un «estador de seguimiento vergonzoso», señala la fundación.
Otros Fabricantes De Automóviles También Tienen Vulnerabilidades De TI
VW está lejos de ser el único fabricante de automóviles que ha experimentado problemas de seguridad derivados de la avalancha de datos. En enero de 2023, un equipo dirigido por el hacker Sam Curry, con sede en Omaha, Nebraska, que tenía 23 años en ese momento, demostró que era capaz de entrar en las cuentas de usuario de los empleados y vendedores de BMW a voluntad y echar un vistazo a los documentos de ventas. También encontró su camino en la aplicación de chat de la compañía Mercedes Benz.
Las brechas de seguridad que los hackers encontraron en KIA fueron aún más graves: pudieron desbloquear vehículos del fabricante de automóviles surcoreano desde lejos e incluso arrancar sus motores. Afortunadamente, Curry y su equipo son «hackers de sombrero blanco», que proceden de manera similar a CCC en el incidente de Cariad: informaron a las empresas involucradas y los problemas se corrigieron.
Entre los expertos en ciberseguridad, el llamado «Jeep hack» ha alcanzado un estatus casi legendario. En 2015, dos expertos en TI pudieron acceder de forma remota a la electrónica del automóvil a través del módulo de radio incorporado y controlar los frenos, la velocidad y el audio del vehículo. El incidente llevó a la retirada de 1,4 millones de vehículos para recibir una actualización de software para protegerse de tales ataques.
Sin embargo, ¿a quién pertenecen los datos del coche? ¿Los productores? ¿Los propietarios? Es una pregunta importante, sobre todo porque cada vez más actores están expresando interés en dichos datos. A las aseguradoras, por ejemplo, les gustaría acceder a él para poder ofrecer planes que recompensen un estilo de conducción defensiva.
Los fabricantes de automóviles están perdiendo lentamente el control de los datos. En mayo, un tribunal regional de Colonia dictaminó que ya no estaba permitido impedir que los talleres independientes de reparación de automóviles accedieran a los datos necesarios para realizar reparaciones. Los mecánicos no afiliados se habían quejado de que algunos productores les exigían que compraran licencias caras para acceder a los datos del vehículo y fallar la memoria.
La nueva Ley de Datos de la UE, cuya aplicación será obligatoria a partir de septiembre de 2025, también aborda el tema. A pesar de los esfuerzos de cabildeo de los fabricantes de automóviles para mantener el control de los datos, Bruselas ha optado por dar a los propietarios de automóviles más control sobre la información que generan. Según la ley, los fabricantes deberán proporcionar a los propietarios un acceso simple y gratuito a sus propios datos, lo que hará que sus prácticas de recolección sean más transparentes.
QAnons España 