Kia Motors, Nissan, BMW, Tesla, Honda… todas estas multinacionales han registrado algún incidente de ciberseguridad a lo largo del último año y forman parte de una lista que no deja de crecer. Una de las últimas en verse implicada ha sido Mercedes-Benz, que ha visto cómo se ha filtrado en Internet el código fuente de varios componentes smartcar instalados en muchas de las furgonetas del grupo.
La filtración fue descubierta por Till Kottmann, especialista en programación y hacker residente en Suiza, que descubrió el problema en un servidor Git perteneciente a Daimler AG, empresa propietaria de la marca Mercedes-Benz. Kottmann comprobó que un usuario puede registrarse en el portal en el que se aloja el código de la empresa y luego descargar la información de más de 580 repositorios Git que contienen el código fuente de las unidades lógicas de a bordo (OLU) instaladas en las furgonetas Mercedes.
No es el único incidente de este tipo en lo que va de año; el pasado enero se filtró el código fuente de la filial norteamericana de Nissan como resultado de una mala configuración de un servidor Git de la empresa. La brecha dejó al descubierto los nombres de usuario y contraseñas de administrador por defecto. El servidor Git fue desconectado después de que sus datos comenzaran a ser compartidos en Telegram y en foros de hacking.
Esta brecha también fue identificada por Till Kottmann, que explicó entonces que el repositorio filtrado incluía información sobre aplicaciones móviles de Nissan NA, partes de la herramienta de diagnóstico Nissan ASIST, la biblioteca móvil central interna de Nissan, los sistemas de negocio de los concesionarios y su portal, herramientas de adquisición y retención de clientes, herramientas y datos de investigación de mercado, el portal de logística de vehículos, los servicios de conexión de vehículos, entre otros. Poco después Nissan confirmó el incidente, señalando que la empresa es “consciente de una reclamación relativa a una supuesta divulgación indebida de información confidencial y código fuente de Nissan”. La empresa inició después una investigación.
Mejorar la seguridad
De acuerdo con un informe del Instituto Ponemon, un organismo especializado en la información y educación tecnológica, el 30% de las empresas del sector de la automoción no cuenta con un equipo de ciberseguridad adecuado para gestionar su infraestructura de seguridad, ni tampoco para asegurar la protección de sus vehículos inteligentes y el funcionamiento de los dispositivos integrados. Además, el 63% de todos los fabricantes de vehículos del mercado no realiza test en aproximadamente la mitad de su software, hardware y otras tecnologías que se implementan en sus vehículos.
Esta situación es particularmente preocupante si se tiene en cuenta el rápido avance del Internet de las Cosas (IoT), que aumenta las implicaciones de cualquier brecha de ciberseguridad ya que afecta a múltiples dispositivos conectados que transportan datos confidenciales sensibles. De esta forma, una red de un automóvil que no es segura puede representar una seria amenaza. Por eso, los expertos están haciendo mayor hincapié en reforzar los sistemas, así como implementar diversas medidas de seguridad, incluyendo la instalación de firewall, antivirus y software de cifrado en sus dispositivos.