Ataques

¿Buscas coche por Internet? Puede que hayan robado tus datos

Cada búsqueda que haces en Internet deja un rastro de datos personales. Si las empresas no los protegen, quedan al alcance de cualquiera. Esto es lo que ha pasado con una web que recopila datos de compra-venta de coches.

¿Quieres hacer una compra importante? De un coche, por ejemplo. Lo habitual -al menos en este mundo hiperconectado- será que inicies el proceso buscando información en Internet. Datos de los modelos que te gustan, opiniones en foros de otros usuarios, comparativa de precios en diferentes concesionarios… Está al alcance de un click y te facilita mucho la vida a la hora de decidirte por tu vehículo nuevo.

Todo ventajas, ¿no? El problema es que, en todo ese recorrido, seguramente hayas dejado un reguero de datos. Todos ellos también a un click de distancia… esta vez de los crackers.

198 millones de datos robados

Recientemente, se ha descubierto que gran cantidad de información de posibles compradores de automóviles ha quedado expuesta. Se trata de la base de datos ElasticSearch, perteneciente a Dealer Leads, una web estadounidense que recopila información sobre posibles compradores de vehículos.

Se trata de 198 millones de registros que contienen información como datos de préstamos y finanzas, información de vehículos y direcciones IP de los visitantes de varios sitios web especializados en compra-venta de coches. Y todo ello ha quedado al alcance de cualquiera en Internet. ¿Al alcance de cualquiera? Sí, así es. Una información tan privada y personal no estaba protegida ni tan siquiera por una contraseña.

Threat Post recoge unas declaraciones de Jeremiah Fowler, el investigador que se dio cuenta de la vulnerabilidad. En ellas, Fowler explica el funcionamiento de esta web para ayudar a comprender por qué los datos han quedado expuestos: «Todos los sitios web proporcionan información de investigación de compra de automóviles y anuncios clasificados para los visitantes. Recopilan esta información y la envían a franquicias y concesionarios de automóviles independientes para ser utilizados como clientes potenciales de ventas».

El investigador añade que el modelo de negocio utilizado por Dealer Leads no es particularmente transparente, ya que recoge datos de los clientes potenciales sin que estos sean realmente conscientes de ello.

Tras descubrir el fallo en la custodia de los datos, el investigador se puso en contacto con la empresa, que cerró el acceso público a la base de datos. Sin embargo, eso no impidió que, previamente, la información fuese plenamente accesible para cualquier persona.

“Esta es otra llamada de atención para cualquier organización que recolecte y almacene grandes cantidades de datos. Es crucial asegurarse de que existan las medidas de seguridad adecuadas. La protección de datos y la privacidad ahora se están convirtiendo en una parte central del panorama empresarial y hay un cambio creciente en el que cada vez más personas se dan cuenta de que los datos de los clientes son tan importantes como los productos o servicios» concluye Fowler.

Datos poco protegidos

No es la primera vez que una empresa queda en evidencia por lo mal que protege los datos de sus usuarios.

Hace unos meses, la aerolínea British Airways fue sancionada con 200 millones de euros de multa por no cumplir con el Reglamento General de Protección de Datos -RGPD-. El incumplimiento consistió en no contar con las medidas adecuadas para proteger los datos que sus clientes depositaban a través de la web de la empresa. Como consecuencia, un ciberataque dejó expuesta la información de medio millón de clientes.

Si se pasa de las alas a las ruedas, también encontramos ejemplos en empresas del sector del automóvil. A principios de este año, Toyota sufrió una brecha de seguridad que pudo dejar expuestos los datos de ¡3,1 millones! de clientes de la compañía. Este caso afectó a los compradores de Japón, Tailandia y Vietnam, que vieron expuestos datos como el nombre, el domicilio, la fecha de nacimiento y la profesión de los afectados.

Pero hay veces en los que no es necesaria la intervención de un ciberdelincuente para sacar partido de los datos. El Gobierno de India admitió, directamente, que vende los datos de sus ciudadanos para financiarse. ¿Quién quiere impuestos teniendo datos?

De momento, no hay constancia de que una incidencia de estas características se haya producido en España. Si alguna vez te sucede un caso así, Tomás Prieto, presidente del Instituto Internacional de Privacidad y Seguridad de la Información – IIPSI– explicaba en este artículo a qué tienes derecho y qué puedes hacer para reclamar.

He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.