Quizá hayas leído alguna noticia informando de un ciberataque a un coche. Estos sucesos cada vez crecen más. Pero no solo los vehículos corren ese riesgo. Los ciberdelincuentes también han puesto a los concesionarios en el punto de mira. Ya se han producido varios incidentes de este tipo que ponen a estos centros contra las cuerdas. ¿Cuáles han sido y qué consecuencias pueden tener para los concesionarios?

Perder los datos

Cuando compras un coche, tienes que rellenar montones de papeles con tus datos personales. ¿Qué sucede luego con esa información que has facilitado? Normalmente, se introduce en la base de datos del concesionario. Con el tiempo, estas redes internas acaban almacenando un volumen ingente de datos personales de muchas personas. Un botín muy jugoso para los ciberdelincuentes, que ya han lanzado ataques para hacerse con la información que custodian los centros de compra-venta.

El primero del que se tiene noticia sucedió en noviembre del 2016 en EE.UU. Fue entonces cuando se conoció que los nombres, las direcciones, los números de teléfono y los números de seguridad social de clientes y empleados de más de cien concesionarios de automóviles se habían filtrado en línea. Todo gracias a un sistema de registros centralizado protegido por una seguridad de mala calidad. En total, se estima que el caso afectó a 12,5 millones de personas.

Papeles de datos apilados

El siguiente ciberataque se produjo hace un año. Unos crackers lograron entrar en la base de datos de varios concesionarios japoneses de Toyota y Lexus. Allí se almacenaba la información de millones de clientes. Los servidores afectados guardaban datos como el nombre, el domicilio, la fecha de nacimiento y la profesión. El fabricante reconoció que los ciberdelincuentes podrían haberse hecho con todo eso. Por suerte, allí no se custodiaba información más comprometida como datos financieros, teléfonos o direcciones de correo electrónico.

Y para terminar con los problemas con los datos, un último caso. Es muy reciente, del mes pasado. Un investigador descubrió tres vulnerabilidades en el sitio web de soporte de concesionarios de Mercedes-Benz USA. Una de ellas, la más importante, permitió al experto descargar una década de documentos confidenciales que debían ser leídos únicamente por la gerencia del concesionario Mercedes-Benz. Las otras dos vulnerabilidades le permitieron descargar los archivos adjuntos de consultas que habían sido enviadas al sitio web. Por fortuna, en este caso, fue un investigador y no un cracker el que se dio cuenta del fallo.

Alterar los ordenadores de los concesionarios

Al trabajar con sistemas informáticos, los concesionarios no solo se arriesgan a que les roben datos. Los ciberdelincuentes también se pueden introducir en sus ordenadores y manipular parámetros que impidan la normal gestión de estos centros.

Un ejemplo de esto fue lo que sucedió el año pasado en Kenia. Un profesor de dicho país encargó un Mercedes a través de un concesionario multimarca especializado en importaciones. Pero el docente nunca llegó a recibir su nuevo vehículo. La culpa la tuvo un ciberdelincuente, que se introdujo en la orden de compra para modificarla. Algo que logró suplantando las credenciales de uno de los comerciales del concesionario. Además de ponerse a sí mismo de comprador, cambió el pedido del Mercedes original para encargar un Lexus y un Smart. Como el comprador auténtico ya había dejado todo pagado, al cracker no le costó nada esta operación. Hasta que la policía le pilló.

Los concesionarios que incluyan un servicio técnico en su oferta también deberían prestar atención a la ciberseguridad de las máquinas de su taller. En octubre de 2015, un trío de investigadores de seguridad lograron activar y desactivar "cualquier cosa que pudiera activarse o desactivarse" dentro de vehículos de Audi y Volkswagen. Entre ellas, los airbags. Todo lo que tenía que suceder es que un mecánico conectase el coche a un ordenador que tuviese instalado un software de diagnosis muy popular en el gremio. El experto demostró que, si se infectaba la computadora del técnico con malware, la infección pasaba a los automóviles.

Los trabajadores: otro objetivo clave

Los trabajadores de un concesionario tienen mucho poder en sus manos. Un empleado descontento o con ganas de fastidiar podría poner en un serio aprieto a su centro. Peor aún, a sus clientes.
En 2010 ya se produjo un crackeo de estas características. El culpable fue un empleado descontento porque acababa de ser despedido del concesionario donde trabajaba en Austin -EE.UU-. Él solito consiguió inmovilizar más de 100 coches y hacer que su bocina sonase como loca. ¿Cómo lo logró? A través de un sistema que bloquea los automóviles a distancia en caso de que el dueño no abone las cuotas del vehículo.

El siguiente caso también afectó a más de un centenar de vehículos. Pero en esta ocasión no fueron bloqueados, sino robados. Unos ciberdelicuentes contaron con la inestimable ayuda de algunos trabajadores de concesionarios para sustraer más de 100 todo terrenos de Jeep y Dodge y enviarlos a México desde Estados Unidos. Para cometer su delito, tuvieron que reprogramar las llaves de los coches, tarea en la que ayudaron algunos empleados de los puntos de venta, que dieron a los crackers acceso a las bases de datos necesarias.

El concesionario se enfrenta… a cuantiosas multas

De momento, no hay noticia de que haya sucedido en España algún ataque como los que has leído anteriormente. Pero, de haber así, los centros se habrían enfrentado a importantes sanciones económicas. Por ejemplo, en el caso de que un punto de venta de automóviles sufra una fuga de datos, puede que sea sancionada por la Agencia Española de Protección de Datos por no haber cumplido con el Reglamento General de Protección de Datos. ¿La consecuencia? Una multa que puede llegar hasta los 20 millones de euros.

Además, una reciente encuesta realizada en Estados Unidos a compradores de coches recogió que el 84% de los consumidores se niega a comprar un coche en un concesionario que haya sufrido un ciberataque. Es decir, que ya sea por una multa millonaria o por una bajada drástica de las ventas, aquellos centros que sufran la 'visita' de un cracker pueden ver arruinado su negocio.

Por eso es conveniente que tomen medidas para garantizar que todos sus sistemas informáticos y sus procesos son ciberseguros. Una forma de ver si esto es así es contar con el análisis de empresas como la vasca Eurocybcar, que comprueba el nivel de ciberseguridad que ofrecen los coches a la hora de proteger la vida y los datos de los ocupantes. También podría hacer lo mismo con los equipos informáticos de un concesionario de automóviles.

https://www.neomotor.com/actualidad/este-fallo-permite-controlar-un-coche-a-distancia.html