Ataques

Datos de 3 millones de clientes de Toyota y Lexus podrían estar en manos de crackers

Ambas marcas han confirmado un ciberataque a servidores que contenía información de sus usuarios. ¿Qué datos se han filtrado? ¿Ha afectado a España? ¿Qué debe hacer el propietario en este caso?

Imagen de gente cruzando la calle en un barrio de Japón

Toyota ha hecho público que sufrió un ciberataque el pasado 19 de marzo que pudo ocasionar una filtración de los datos de 3,1 millones de clientes de las dos marcas del grupo: Toyota y Lexus. La compañía lo descubrió dos días después, al detectar que se había producido un acceso no autorizado a una red de almacenamiento de datos.

¿Qué datos pueden haber sido robados?

Los crackers, cuya identidad se ignora de momento, podrían haber tenido acceso a datos de usuarios como el nombre, el domicilio, la fecha de nacimiento y la profesión. Desde la marca descartan que hayan accedido a información financiera u otros datos tales como teléfono o correo electrónico.

Fuentes de Toyota han confirmado a HackerCar que el ataque fue dirigido a concesionarios japoneses de las citadas marcas de la compañía. También podría haber afectado a alguno en Tailandia y Vietnam. De momento, no tienen constancia de que se haya hecho uso de esos datos ni de que se hayan robado.

Para resolver todas las dudas, la empresa ha declarado que está realizando una investigación junto con la Comisión de Protección de Información Personal de Japón. También ha confirmado que se ha avisado del incidente a los clientes afectados a través de las páginas web de los concesionarios. En todo caso, explican que los datos de los conductores españoles de vehículos Toyota y Lexus no han sido filtrados de ninguna forma.

¿Podría pasar un caso similar en España?

El fabricante de automóviles asegura que cada división nacional o regional tiene su propia política de ciberseguridad, por lo que las protecciones japonesas son diferentes de las españolas. Añade que, en España, se ha tenido constancia de intentos de ataque en dos concesionarios, abortados porque sus protocolos funcionaron y evitaron una fuga de datos.

En este caso concreto, los datos de los clientes españoles han quedado a salvo, pero ¿qué pasaría si también se hubiesen visto afectados? ¿Qué debería hacer un usuario de nuestro país si el concesionario donde compró su coche sufre en el futuro un ciberataque similar? ¿A qué tendría derecho? ¿Y qué debe hacer la marca?

Ante un caso así, el Instituto Internacional de Privacidad y Seguridad de la Información -IIPSI- detalla que lo primero es que la empresa informe a la Agencia Española de Protección de Datos en las siguientes 72 horas de tener conocimiento de los hechos, empezar sus propias investigaciones e informar a dicha Agencia en todo momento.

“Todo dependería del alcance de la brecha de seguridad. Si sucede como en Japón, que se vieron implicadas subsidiarias, aquí en España también serían responsables del incidente, y cada una de ellas debería determinar el alcance dentro de su organización” añade Tomás Prieto, presidente del IIPSI.

Cómo actuar si te pasa

Respecto a los usuarios, gracias a la entrada en vigor del Reglamento General de Protección de Datos europeo, tendrían derecho a una compensación económica por los daños sufridos. Para ello, tendrían que presentar una demanda vía judicial. Sería la Agencia Española de Protección de Datos quien tendría que determinar si existe el daño, así como el alcance del mismo.

El IIPSI explica que, desde la aprobación de sendas normativas en materia de protección de datos a nivel europeo y nacional, una empresa como un concesionario de vehículos “debe de contar con un Delegado de Protección de Datos o bien tener un servicio externo contratado a tal efecto”.

Sin embargo, el IIPSI afirma que los ciberataques se producen por exceso de confianza. Y es que las organizaciones “probablemente no tengan en su protocolo de seguridad unos adecuados test de vulnerabilidades o de posibles vías de intrusión -pentesting-”.

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.