Volkswagen está en el centro de un escándalo: las coordenadas de cientos de miles de vehículos eléctricos están en manos de piratas informáticos

Cariad, la división de software automotriz de Volkswagen, sufrió una filtración de datos que afectó a alrededor de 800,000 vehículos eléctricos. Debido a una configuración incorrecta del almacenamiento en la nube de Amazon, los datos permanecieron sin protección durante varios meses. Como resultado, los atacantes podían acceder a la geolocalización de los vehículos con una precisión de unos pocos centímetros, así como a información personal de los conductores.

La información afectó a los propietarios de automóviles de las marcas Volkswagen, Audi, Seat y Skoda. Especial preocupación causó el hecho de que los datos incluían coordenadas detalladas de la ubicación de los vehículos, incluidas la latitud y la longitud al apagar el motor eléctrico.

La vulnerabilidad fue descubierta por Chaos Computer Club (CCC), la mayor organización de hackers éticos de Europa. Según los informes, obtuvieron información de un informante, probaron el acceso y proporcionaron a Cariad los detalles técnicos de la vulnerabilidad. El CCC destaca que el equipo de seguridad de la empresa reaccionó rápidamente, solucionando el problema el mismo día que recibieron la notificación.

Según se informa, alrededor de 460,000 vehículos tenían datos de geolocalización accesibles. Entre ellos había coches de empleados de la policía de Hamburgo, presuntos agentes de servicios de inteligencia y políticos alemanes, incluidos Nadja Weippert y Markus Grübel.

El fallo fue posible debido a datos almacenados en la memoria de una de las aplicaciones de Cariad. El volcado contenía claves de acceso a la nube, donde se almacenaban los datos de los clientes. Esto permitió acceder a las coordenadas, así como a otros detalles como la ubicación de estaciones de carga favoritas.

Cariad subraya que el ataque requirió eludir varios niveles de protección. La seudonimización de los datos dificultaba su vinculación con usuarios específicos, pero los especialistas de Spiegel y CCC lograron combinar datos fragmentados para identificar a algunos conductores.

La mayoría de los vehículos afectados se encontraban en Alemania (300,000), pero los datos también incluían automóviles en Noruega, Suecia, Reino Unido, Países Bajos, Francia, Bélgica y Dinamarca. La empresa asegura que la filtración no comprometió el control de los vehículos y que solo los especialistas del CCC tuvieron acceso a los datos.

Volkswagen destaca que la recopilación de datos ayuda en el desarrollo de funciones digitales y en la mejora de los equipos de carga, y que los clientes tienen la opción de desactivar la recopilación de datos en cualquier momento. Sin embargo, el incidente dejó claro que incluso los sistemas de protección innovadores no están exentos de errores básicos de seguridad.