Es como dejar un llavero enorme debajo de un felpudo demasiado pequeño
Con estas palabras, Linus Neumann, portavoz de Chaos Computer Club y colaborador con el Bundestag alemán como experto en seguridad informática, ha tratado de explicar lo que ha supuesto la enorme filtración de datos personales de alrededor de 800.000 vehículos eléctricos de Volkswagen.
Un agujero de 800.000 vehículos. La información ha sido publicada por Chaos Computer Club (CCC) y el diario alemán Spiegel. En ambos casos, un anónimo se puso en contacto con ellos para alertarles de que el software de Volkswagen firmado por Cariad presentaba una vulnerabilidad que ha dejado a la vista los datos personales de más de 800.000 vehículos.
Concretamente, los datos filtrados han dejado a la vista el posicionamiento GPS de los conductores, por lo que se ha podido trazar sin problemas los movimientos de todos y cada uno de los coches. El problema, aseguran en CCC, ya ha sido resuelto.
¿Qué ha quedado al descubierto? Señalan en Spiegel que con los datos aportados por la compañía y que estaban al acceso de cualquier persona sin necesidad de que tuviera "grandes conocimientos informáticos", se podía saber dónde había estado cada coche, a qué hora y cuánto tiempo había estado parado. Aseguran que en los modelos de Audi y Skoda afectados el posicionamiento tenía un margen de error de 10 kilómetros pero que en los coches de Volkswagen apenas era de 10 centímetros.
Además, se recopiló y mostró información del estado de la batería en cada encendido y apagado o si el coche ha pasado las revisiones oportunas.
Información extremadamente sensible. "No puede ser que mis datos se almacenen sin cifrar en la nube de Amazon y luego ni siquiera estén suficientemente protegidos". Las palabras son de Nadja Weippert, representante de los Verdes en el parlamento alemán, portavoz de protección de datos de su grupo parlamentario y alcaldesa de Tostedt, recogidas por Spiegel.
En el artículo se explica que la filtración masiva podría haber servido para que cualquiera comprobara dónde vive, a qué hora sale de casa, durante cuánto tiempo conduce cada día o cuánto tiempo está parado su coche. Toda su rutina había quedado visible a ojos de cualquiera que tuviera los conocimientos informáticos suficientes.
Lo mismo le sucedió a Markus Grübel, miembro de la CDU en el parlamento alemán. Como Wieppert, este político alemán ha colaborado con el diario para demostrar los peligros provocados por esta filtración masiva de datos. En su caso también se podía localizar cuándo y por dónde se movía pero, por ejemplo, también quedaban al descubierto las visitas a la residencia donde vive su padre.
Exparejas pero también militares. Efectivamente, entre los casos de uso que Spiegel señala, se menciona que los datos de conducción y aparcamiento han quedado visibles para rastreos y ataques de todo tipo. Se habla de exparejas o de información útil para chantajadores y extorsionadores, pero también se podría haber ido más allá.
En el diario alemán se mencionan casos extremadamente problemáticos. En los datos aportados se podía comprobar qué coches, en qué horarios y durante cuánto tiempo permanecían estacionados junto a edificios especialmente delicados, como los referentes a los de las fuerzas de seguridad. De hecho, se podía rastrear el comportamiento de más de una treintena de coches de policía local.
¿Cómo ha pasado? El origen del problema ha estado en una actualización del vehículo del pasado verano. Entonces, con cada viaje se generaba un paquete de datos relativos a la conducción que se subía a la nube. En ellos se recogía información sensible relacionada con el cómo, cuándo y por dónde se movían los propietarios de 800.000 vehículos eléctricos de Volkswagen pero también de Seat, Audi o Skoda repartidos por toda Europa.
Los datos se han expuesto durante meses sin cifras y con los nombres de los dueños de los vehículos o los responsables de la flota de cada coche. "Espero que Volkswagen lo arregle, recopile menos datos y que, en todo caso, sean anónimos", señalaba Wippert a Spiegel, quien dejaba claro que se podía trazar sin muchos problemas quién circulaba dentro del coche.
¿Para qué se utilizan estos datos? Según Cariad, recopilar los datos de posicionamiento de GPS, así como el estado de la batería, el encendido y apagado del motor o el comportamiento y hábitos de recarga son necesarios para mejorar la experiencia de los clientes y mejorar el producto. El gran objetivo es crear perfiles y caso de uso con unos datos que deberían ser anónimos.
¿Está solucionado? En Xataka nos hemos puesto en contacto con Volkswagen sin obtener respuesta en el momento que escribimos este artículo. Actualizaremos la información con la respuesta aportada.
Desde CCC sí aseguran que Cariad (empresa responsable del software del Grupo Volkswagen) ha solucionado el error de software que ha provocado la filtración. "El equipo técnico de Cariad ha reaccionado de forma rápida, exhaustiva y responsable", ha señalado el grupo especializado en seguridad informática a través de Linus Neumann, su portavoz.
Desde Cariad aseguran que el problema no se debe a una brecha de seguridad y reconocen que el error ha estado en una configuración mal implementada que ha permitido acceder libremente a datos que deberían haber estado protegidos. Aseguran, además, que no es necesario tomar ninguna medida extra de seguridad porque no han quedado expuestas contraseñas ni datos de pago.
Foto | Volkswagen
Ver 35 comentarios
35 comentarios
p2dzca
Esto es el efecto colateral e inevitable del Capitalismo de vigilancia (https://es.wikipedia.org/wiki/Capitalismo_de_vigilancia). No está justificado que un vehículo recopile y entregue a una empresa datos como los que se han filtrado. Hemos aceptado sin rechistar el robo de nuestros datos, y así nos va.
juampavaras
Es inadmisible ese nivel de espionaje en un vehículo que para nada es barato, ya vemos porque nos quieren obligar a tener coches eléctricos. Tu viejo diesel o gasolina nunca te espiaría porque es un coche y no un ordenador
pipas75
1o fue la información que "dejas" en el con tu móvil lo que ha supuesto una revolución en la publicidad y el marketing dirigido.
Ahora son tus hábitos de conducción la jugosa información que se recaba.
Pero ese no es el problema, el problema es anonimizar los datos y guardarlos seguros.
Parece que no aprendemos.
fusqui
This is the future my friends...................
dark_god
Luego los fabricantes sacan anuncios en USA de violadores espiando tu coche para que te entre el miedo y no apoyes el derecho a reparación y seguir permitiéndoles que bloqueen todo el coche a su servicio técnico "por seguridad". Y como era de esperar, su seguridad tiene más agujeros que un queso suizo.
Esto se tiene que acabar. Ya no es solamente que el coche ya no es tuyo, es que son máquinas de espionaje. En los móviles al menos tienes un sistema de permisos y más o menos sabes lo que está pasando. En los coches hacen todo lo que quieran sin que puedas hacer nada y no se puede analizar el tráfico tampoco si van con una SIM integrada. Es la jugada perfecta.
frkwot5
yo creo que la solución para esto y para todo es que nuestros datos sean públicos siempre a todos los niveles...así no interesará a nadie... es que ya ni con la tostadora está uno seguro que no le espía, y si al menos el espionaje fuera por motivos de seguridad...pero no, para vender más las empresas...anda ya, iros a tomar por c...
Gody
¿Pero los espias no eran los chinos, los enemigos de la humanidad?
pedrosalguera
Desde hace años la gente diciendo que no tiene nada que esconder, que da igual que nos espíen, etc.
No aprendemos
sanj
¿Los genios de la UE?
Usted no ha vivido en EE.UU. (donde, aun siendo formalmente una democracia, hace décadas que el gobierno puede acceder fácilmente a la mayoría de datos de sus ciudadanos y también de sus turistas) o China (una dictadura con un Gran Hermano infinito), ¿verdad?
Entre los tres, en cuanto a privacidad, mejor la Unión Europea... no bueno sino el menos malo.
@lex
Supongo que como propietario de uno de estos vehículos cuando la AEPD ponga la multa que corresponda me van a abonar una parte como afectado, no?
O como mínimo que compense como una tributación en mi renta, no?
Ah no, que así no funciona…
hmp
Otro jarro de agua fría para los neoliberales q no quieren ninguna regulación por parte de los gobiernos. Actualmente el mayor negocio es el de los datos y, particularmente, si alguien tiene q tener mis datos, prefiero q sea el estado a q sea una empresa privada.
alejajandrosp
UE, adalid de la regulación y de los derechos de los ciudadanos, capaz de doblegar a los grandes de los grandes como Apple y orgullecerse de ello:
- ¿Cómo permites que recopilen estos datos sin nuestro consentimiento?
- ¿Cómo permites que el usuario no sea informado de esta vulneración de su intimidad?
- ¿Cómo permites que el usuario no tenga la potestad/posibilida de anular este consentimiento?
Tanto AEPD, tanta regulación de m**** para todo... y te levantas desayunándote esto quedante cara de subnormal! Incomprensible!!!!
moderntimes
Menuda sorpresa; notición. Todo dispositivo apellidado "inteligente" nos espía.
¿Que el problema no es la recopilación de datos y sí su seguridad? Falso. Siempre que hay recopilación de datos existen las opciones de espionaje directo, venta de los mismos; y, en su caso, ataques con los fines anteriormente dichos.
luchana48
¿Pero VW ha vendido tantos coches eléctricos?
luchana48
Mi Zoe lleva una SIM para que yo pueda saber que carga tiene la bateria. Y como mi ZOE todos.