¿Cómo fue el año 2022 en lo relacionado con ciberataques aplicados a la automoción, el transporte, las empresas del sector, las nuevas formas de movilidad…? Pues, en realidad, de forma muy similar a como fue el 2021, con todo tipo de ataques, muchos de ellos centrados en algo tan valioso como los datos o la información. Te contamos quiénes han sido los últimos afectados.
No hace falta aventurar mucho para saber que este 2023 seguirán siendo un año de ciberataques… incluso lo lógico es que vayan a más, algo que suele suceder, sobre todo, cuando existe algún tipo de conflicto en marcha, como el que va a cumplir en breve un año por la invasión rusa a Ucrania.
Tampoco se va a ver a salvo un sector como el del automóvil, con vehículos cada vez más conectados y tecnológicos, pero también con concesionarios, fabricantes, factorías… que manejan y acumulan cada vez mayor cantidad de datos e informaciones.
En todo caso, hemos reunido algunos de los casos más llamativos ocurridos en la recta final del pasado ejercicio y, en breve, también te expondremos los primeros que han tenido lugar en 2023, cuando apenas ha tracurrido poco más de un mes.
Empresas del transporte: un objetivo prioritario
Seguro que conoces el nombre de la multinacional Thales, pues es una empresa mundial de alta tecnología que lidera, por ejemplo, todo tipo de soluciones aplicadas a la seguridad en el transporte. Pues bien, ni siquiera un gigante de este tipo se ve libre de los ciberataques. Y es que tal y como trascendió hace pocas semanas, la banda de ransomware conocida como Lockbit estaba comenzando a filtrar información que, supuestamente, habría conseguido robar a Thales.
Estaríamos hablando de una cantidad ingente, si tenemos en cuenta que estos ciberdelincuentes ‘filtraron’ un archivo de un tamaño considerable, 9,5 Gb y que, al parecer, contendría información de la mencionada compañía; de esa manera, los piratas informáticos cumplían su promesa, hecha con anterioridad en forma de anuncio, de que harían públicos estos archivos si no se atendían sus pretensiones económicas en forma de rescate.
El Tesla que se volvió loco… ¿por un ciberataque?
El protagonista del siguiente suceso fue el Model Y, el flamante último modelo de la firma norteamericana, uno de los eléctricos más vendidos del mundo… y que, como el resto de integrantes de la gama, presume de contar con multitud de asistentes a la conducción que, en cierta manera, le dota de un nivel de autonomía en carretera, según las circunstancias.
Pues bien, se dio en caso de que en China, uno de estos vehículos comenzó a circular sin control durante varios minutos por las concurridas calles de la ciudad de Chaozhou. ¿La consecuencia? Un peatón y un ciclista muertos tras ser embestidos por el vehículo y otras tres personas heridas. El conductor, un varón de 55 años, dio negativo en los test de alcohol y drogas a los que fue sometido, asegurando que el vehículo ‘cobró vida propia’ mientras intentaba aparcar y no se podía detener.
Se están investigando las causas del suceso, y aunque los primeros resultados todavía se desconocen, se sospecha que un posible problema de ciberseguridad, provocados por vulnerabilidades en los ADAS -asistentes a la conducción- podría haber desencadenado un suceso tan trágico.
Un ‘clásico’: roban vehículos… si necesidad de usar llave
Nos trasladamos ahora hasta Port Hope, en Estados Unidos, donde la policía habría reportado la sustracción de tres vehículos comerciales de las marcas Dodge y Toyota… que guardaban algo en común: disponer de un sistema de acceso y arranque manos libres. Recordamos que es una tecnología que permite al usuario abrir -o cerrar- las puertas del vehículo sin hacer uso del mando a distancia: simplemente, basta con llevarlo encima para que el coche o furgoneta detecte la presencia del propietario y le abra las puertas con tocar la manecilla… y una vez dentro, le permita poner en marcha el motor y arrancar.
En este caso, se cree que los delincuentes pudieron utilizar un método para ampliar la señal del mando de la llave del coche -ubicado dentro de la casa del propietario- y, de esta forma, que el vehículo, aparcado en el exterior del domicilio, ‘creyera’ que el usuario legítimo estaba cerca con el mando original y, por eso, permitía abrir las puertas y poner en marcha el motor.
Las aseguradoras… que no ‘aseguran’ sus datos
El siguiente caso lo protagoniza la popular compañía de seguros Generali, que habría sufrido una fuga de datos originada después de un acceso no autorizado a sus sistemas de información. Entre los datos que se robaron, figuraría información como nombres, apellidos, direcciones postales… y, lo que es más preocupante, información como el DNI o cuentas bancarias de clientes o ex-clientes. Y aunque es un hecho grave, desde la firma comentan que la repercusión del ciberataque habría sido ‘limitada’ y se encontraría ‘bajo control’, además de haberse tomado medidas para que no vuelva a producirse en el futuro.
Incluso una ‘inofensiva’ app, como la de Hyundai, puede tener problemas
Las aplicaciones móviles que ofrecen la práctica totalidad de los fabricantes de vehículos, son una tecnología muy de moda que permite al usuario controlar funciones de un determinado modelo… de forma remota, a distancia: pueden ser datos de conducción, posición del vehículo, controlar la climatización, luces o claxon… Pues bien, hace pocas semanas, se habría descubierto una vulnerabilidad en la app móvil empleada tanto en los Hyundai como en su marca de lujo, Genesis.
Debido a dicha vulnerabilidad, encontrada en este caso por el investigador Sam Curry -pero que podría ser explotada por un ciberdelincuente-, sería posible emplear la app para abrir y cerrar los seguros de las puertas, arranca el motor o gobernar otras funciones críticas del vehículo.
Según Curry, la teoría dice que estas apps solo pueden proporcionan ese tipo de acceso privilegiado a los auténticos dueños de un vehículo; pero el problema estaría en que se contemplaron irregularidades en la manera en la que la app se comunica con el ‘servidor de autorización’, algo que permitió hacer pruebas relacionadas con el registro de la cuenta de usuario del vehículo. Una de las conclusiones es que no hacía falta que el usuario que se crease una cuenta, tuviese que confirmar el proceso con su dirección de correo electrónico.
Para comprobarlo, una persona del equipo de Curry utilizó su coche para comprobar el exploit -un ataque que se aprovecha, precisamente, de una vulnerabilidad para provocar un efecto no deseado en el sistema que sea el objetivo a atacar-… y, en efecto, lograron desbloquear el vehículo.
