Precios inalcanzables para la mayoría, prestaciones inigualables, diseños increíbles, una historia llena de páginas gloriosas en el mundo de la competición… no hay duda de que Ferrari es, posiblemente, una de las mejores marcas del mundo o, al menos, una de las más deseadas. Además, también es una de las firmas que presta mayor atención a la ciberseguridad… al menos, dentro del mundo de la competición y, más concretamente, en la especialidad quee más aficionados la conocen: la Fórmula 1.
De hecho, no hay más que ver que durante el último año y medio, la marca italiana ha hecho dos comunicados oficiales hablando de los acuerdos que ha firmado -o renovado- con dos de las principales empresas tecnológicas del mundo cíber.
Así, en diciembre de 2021, Ferrari anunciaba la prolongación de su acuerdo con Kaspersky, presentándola como «lider mundial en el campo de la ciberseguridad y la protección de datos».
Una colaboración que viene de bastante atrás, concretamente del año 2010 y que ya se había renovado en 2015; pues bien, fruto de ese acuerdo, Kaspersky se encarga de brindar servicios esenciales a la marca del cavallino, entre los que se incluye la protección de los datos de Ferrari «tanto en su sede de Maranello como en las pistas de todo el mundo», dando a entender la importancia y sensibilidad de la información que maneja una escudería puntera y los posibles riesgos que podría entrañar una filtración de la misma.
Por si fuera poco, hace apenas medio año, a finales de septiembre de 2022, la Scuderia Ferrari anunciaba la llegada de un nuevo Team Partner para un contrato que se extiende durante varios años. Nos referimos a Bitdefender, es decir, otro de los líderes en el campo de la ciberseguridad y la protección de datos digitales. Esta empresa, fundada originalmente en Rumanía, aparece desde la temporada 2023 tanto en los monos de Charles Lecrec y Carlos Sainz como en la ropa que lucen los integrantes del equipo.
Pues bien, esa preocupación por la ciberseguridad en el equipo de F1… parece que no se ha trasladado a otras áreas de la empresa o, al menos, no ha servido para evitar… lo que parece inevitable. Y es que la marca italiana ha hecho público, mediante un comunicado oficial en su propia página web -y también a través de un correo electrónico a los afectados-, que habría sufrido un ataque de ransomware por el cual habrían sido robados los datos confidenciales de sus clientes.
Hay que recordar que este tipo de ciberataque consiste en el robo, sustracción o encriptación de datos e información por parte de un ciberdelincuente, el cual solicita un rescate económico -en moneda virtual- a cambio de no filtrar dicha información y devolverla a su propietario.
Después de producirse los hechos, los piratas informáticos se pusieron en contacto con la marca, exigiendo el pago del rescate -aunque no ha trascendido ni el nombre del grupo o banda que ha llevado a cabo el ataque, ni la cantidad de dinero exigida-. Ferrari asegura que, cuando recibieron esa comunicación, lo que hicieron fue «comenzar una investigación con una firma líder mundial en seguridad cibernética, al tiempo de que informamos a las autoridades pertinentes y confiamos en que investigarán con todo el peso de la ley», aseguran desde Maranello.
La marca asegura también que «ellos no pagarán rescates», al considerar que, de hacerlo, estarían contribuyendo «a financiar actividades delictivas y permitir a los actores de las amenazas perpetuar sus ataques». La medida por la que optaron, como hemos comentado, fue la de informar a sus clientes, notificándoles sobre la posible exposición de datos y la ‘naturaleza’ del incidente.
Una decisión correcta, si tenemos en cuenta que entre la información ‘robada’ se encontrarían datos como nombres, direcciones postales, mails, números de teléfono… aunque aseguran los responsables de la marca que otros datos, especialmente sensibles, como números de cuenta u otra información bancaria no se habrían visto afectada.
El comunicado termina asegurando que Ferrari «se toma muy en serio la confidencialidad» de sus clientes -teniendo en cuenta el perfil medio del usuario de la marca, seguramente haya muchas ‘personas de interés’-, que comprende la importancia del incidente, y afirman que han trabajado con expertos externos -no menciona empresas en concreto, si bien lo lógico es que hayan recurrido a las que patrocinan su escudería de F1-, para «reforzar aún más» sus sistemas. Finalmente, aparte del daño reputacional que pueda haber supuesto el ataque, parece que no ha afectado a las funciones operativas o la actividad diaria de la empresa.
¿Ha actuado correctamente Ferrari?
Pues lo cierto es que todos los pasos que han dado, demuestran que este fabricante puede presumir de un cierto nivel de cultura de ciberseguridad. Y es que, como nos reconocía nuestro experto Pablo F. Iglesias, «hace tan solo unos años parecía impensable imaginarse un escenario en el que las empresas ya no solo reconocieran públicamente haber sido comprometidas, sino que además implementaran medidas tanto para eliminar el riesgo y corregir las brechas, y también para evitarle problemas mayores a los clientes cuya información había sido expuesta.
Poco a poco, las regulaciones más estrictas se han sumado a la necesidad que tiene toda empresa de proteger la reputación de su marca. Todo esto ha logrado que, en efecto, dentro de las estrategias de mitigación de crisis reputacionales se contemple la necesidad de ofrecer herramientas para mitigar el riesgo también en el cliente final, que en casos como el de fugas de información, es el principal afectado».
Por lo demás, los expertos reconocen que no asumir el rescate también es una medida acertada, porque el hecho de afrontar el pago/chantaje, no garantiza que los ciberdelincuentes vayan a liberar la información -o, que si lo hacen, no se hayan quedado anteriormente con una copia-. También es buena idea que hayan recurrido a especialistas para que refuercen la ciberseguridad y se dejen asesorar en la materia.
¿Podrían haber hecho algo más en Ferrari? Puede que sí: Hay que recordar un caso, sucedido hace algo más de un par de años, por el cual más de tres millones de clientes de Audi en Norteamérica fueron víctimas de los ciberdelincuentes. El Grupo Volkswagen -al que pertece Audi-, tomó también medidas con rapidez… e, incluso, a los clientes especialmente perjudicados, Volkswagen les ofreció un seguro de protección crediticia gratuito ante los posibles daños que pudieran sufrir; en concreto, lo hicieron de la mano de la compañía de ciberseguridad IDX.
A través de ella, los afectados disponían de monitorización de fugas de datos mediante su producto CyberScan durante 24 meses. Además, la póliza de reembolso asciende a cerca de un millón de euros. El paquete también incluía servicios de recuperación de identidad ante posibles suplantaciones.
¿Es que nadie se preocupa de los coches?
Hasta ahora, hablamos de un ciberataque que afecta a datos e información… pero como bien saben los lectores de HackerCar, la ‘última frontera’ son los ciberataques cometidos directamente contra los vehículos. Puede que acceder a un Ferrari sea más complicado que a otros vehículos -por estar más vigilados, permanecer siempre en lugares cerrados y bien protegidos- pero no significa que sea imposible ‘crackear’ uno de sus modelos, dotados de las últimas tecnologías.
¿Es posible comprobar si algún modelo de su actual gama, es decir, del 296 GTB al SF90 Stradale? Pues, en realidad, ninguno hace referencia en su información oficial a que disponga de un certificado, emitido por una entidad independiente, que demuestre que esos coches cumplen con la normativa UNECE/R155.
Esa ley obliga a que, desde julio de 2022, todos los modelos de nueva homologación ya deben contar con el mencionado certificado, algo que en el caso de Ferrari afectaría de lleno a su primer SUV, el Purosangue, cuyas primeras unidades comenzarán a entregarse a los clientes en 2023.
Hay que recordar que el primero certificado de ‘Vehículo Ciberseguro’ lo obtuvo… una moto eléctrica, la Nuuk Cargopro; esta firma vasca obtenía, hace ahora justo un año, el certificado en ciberseguridad en vehículos de AENOR, tras superar el test EUROCYBCAR -cuya CEO y fundadora es Azucena Hernández– que aplica la metodología ESTP y según los requisitos de la normativa UNECE/R155.
Aunque no seas Ferrari, ¿cómo evitar que le pase a tu empresa?
1: Identidad Auto- soberana: La compañía global de ciberseguridad VU, sugiere que una opción para proteger la privacidad, confidencialidad y gestión de activos en línea es la identidad auto-soberana -SSI, por sus siglas en inglés-, en la que el usuario es el único administrador de su propia identidad digital y tiene el poder de decidir qué datos compartir, con quién y por cuánto tiempo.
2: Utiliza contraseñas seguras y únicas: Ya es todo un clásico… pero no nos cansaremos de repetirlo: es vital utilizar contraseñas seguras y únicas para proteger tus cuentas en línea. Las contraseñas débiles o las que se utilizan en múltiples cuentas son fácilmente hackeables. Al utilizar contraseñas seguras y únicas, estás protegiendo tus datos personales y financieros.
3: Haz uso de autenticación de dos factores: La autenticación de dos factores agrega una capa adicional de seguridad a tus cuentas en línea. Requiere que ingreses tu contraseña y un código de seguridad que se te envía a tu teléfono o correo electrónico. Esto significa que incluso si alguien descubre tu contraseña, no podrá acceder a tu cuenta sin ese código adicional.
4: Mantén tus dispositivos y programas actualizados: Las actualizaciones de software a menudo incluyen parches de seguridad para proteger contra posibles vulnerabilidades de seguridad. Es importante mantener tus dispositivos y programas actualizados para asegurarte de que estás protegido contra los últimos ataques y amenazas de seguridad.
5: No compartas información confidencial por correo electrónico: El correo electrónico no es una forma segura de compartir información confidencial. Puede ser interceptado por terceros y tus datos personales pueden ser vulnerables. Si necesitas compartir información confidencial, utiliza una plataforma de mensajería segura o habla directamente con la persona.
6: Navega en sitios web seguros: Es importante asegurarse de que los sitios web que visitas estén protegidos por un certificado SSL válido. Un certificado SSL cifra la información que se transmite entre tu navegador y el sitio web, lo que significa que la información que compartes está protegida contra terceros. Además, es importante utilizar un software antivirus para protegerse contra posibles ataques.
7: No hagas clic en enlaces sospechosos: Es importante tener cuidado con los correos electrónicos y enlaces que recibes, ya que al hacer clic en un enlace sospechoso puedes descargar un virus o compartir información confidencial con un tercero. Si recibes un correo electrónico con un enlace sospechoso, verifica si es de un remitente confiable antes de hacer clic en el enlace.
8: No conectes dispositivos desconocidos a tus dispositivos: No conectes dispositivos desconocidos, como memorias USB o discos duros externos, a tus dispositivos sin antes escanearlos con un software antivirus. Estos dispositivos pueden estar infectados con malware que puede robar tus datos o dañar tu equipo.
9: Utiliza una red privada virtual -VPN- para proteger tu privacidad: Las VPN cifran todo el tráfico de internet que sale de tu dispositivo y lo redirigen a través de un servidor remoto antes de llegar a su destino final. Esto significa que tu ubicación y tus datos están protegidos contra terceros.
10: Realiza copias de seguridad regulares de tus datos: Es importante realizar copias de seguridad regulares de tus datos para protegerlos en caso de pérdida o robo. Puedes hacer copias de seguridad en la nube o en un dispositivo externo.
