Un error de configuración en el software de algunos coches eléctricos del Grupo Volkswagen dejó desprotegidos varios terabytes de datos con información vulnerable, como la ubicación de estos vehículos o los datos de contacto de algunos de sus propietarios.
La compañía de softare del Grupo Volkswagen, Cariad, ya ha solucionado el problema y asegura que nadie ha hecho un uso malintencionado de esos datos que se almacenaban sin suficiente protección en la nube de Amazon Web Services.
Volkswagen resolvió la incidencia de forma inmediata
El mundo está tan conectado que los datos se han convertido en una moneda de cambio más. Es algo que va a más porque internet cada vez está presente en más sitios y más cosas, desde un sencillo electrodoméstico que tenemos en la cocina hasta nuestro coche. Por eso, la ciberseguridad es más importante que nunca y la protección de datos cada vez gana más peso en todos los ámbitos de la vida.
Por desgracia, a veces se cometen errores y la protección de datos no es tan eficaz como debería. Cariad, la compañía de software del Grupo Volkswagen, lo ha comprobado recientemente. Un error en la configuración del software de algunos coches eléctricos de Volkswagen, Audi, SEAT y Skoda ha dejado expuestos datos sensibles de los usuarios de estos vehículos.
Cariad tuvo constancia del problema gracias a una revelación responsable de las vulnerabilidades por parte de la asociación Chaos Computer Club (CCC), es decir, por los llamados 'hacker buenos'. Gracias a ello, el Grupo Volkswagen ha podido corregir el error y solucionar la brecha de seguridad. El medio alemán Der Spiegel ha seguido de cerca todo el proceso (desde que CCC reveló el problema a VW) y, cuando ya estaba solucionado, ha publicado toda la información.
Según cuenta Der Spiegel, la vulnerabilidad consistía en una brecha en la base de datos en la nube que utilizaba Cariad para almacenar toda la información que recogía el software de los coches eléctricos del Grupo Volkswagen. Estos datos personales se almacenaban en una nube de Amazon Web Services (AWS) sin suficiente protección, por lo que se podía acceder a ellos de forma sencilla. No se sabe desde cuándo.
El medio alemán habla de unos 800.000 coches afectados, especialmente en Europa, pero también en otras partes del mundo, y de varios terabytes de datos desprotegidos con información de contacto de los propietarios de los vehículos y datos de posicionamiento extremadamente precisos (en algunos casos con un margen de 10 cm).
En caso de que esta información hubiera caído en manos de delincuentes e incluso de espías, hubiera sido algo muy grave porque la brecha no solo ha afectado a usuarios anónimos de estos coches eléctricos, sino también a figuras públicas, como la política Nadja Weippert del Partido Verde alemán o el diputado del Bundestag alemán Markus Gúbel, de la CDU. La brecha también afectó a decenas de coches eléctricos de la Policía de Hamburgo.
"No puede ser que mis datos se almacenen sin cifrar en la nube de Amazon y luego ni siquiera estén adecuadamente protegidos”, ha dicho Nadja Weippert a Der Spiegel. Los datos desprotegidos permitían hacer un seguimiento preciso de la ubicación del vehículo en todo momento: cuándo paraba, cuándo se ponía en marcha, dónde lo hacía, cuándo cargaba, etc.
Cuando el CCC informó a Cariad de este problema, la compañía del Grupo Volkswagen se puso a trabajar para resolverlo de forma inmediata. En cuestión de horas, la vulnerabilidad quedó resuelta, como ha señalado el portavoz de CCC Linus Neumann: "El equipo técnico de Cariad ha reaccionado de forma rápida, a fondo y responsablemente".
Cariad habla de una “configuración errónea” del software para explicar el problema y asegura que "según el conocimiento actual, nadie ha accedido a los sistemas excepto el CCC y no tenemos indicios de un uso abusivo de los datos por parte de terceros". Cariad también dice que los datos que quedaron desprotegidos no tenían información sensible, como contraseñas o datos de pago, por lo que no debería haber motivos para preocuparse, máxime, teniendo en cuenta que la vulnerabilidad ya está resuelta.
