Híbridos y Eléctricos

DATOS PERSONALES AL ALCANCE DE TERCEROS

Un hacker compra en eBay piezas usadas de Tesla y descubre los datos personales de propietarios anteriores

Tesla empezó hace relativamente poco a sustituir las MCU de los coches antiguos por unidades más modernas (MCUv2), y ahora han descubierto que las piezas antiguas pueden encontrarse de segunda mano con los datos personales del dueño anterior.

tesla-coronavirus
Descubren en eBay antiguas piezas de Tesla con información personal de los dueños anteriores

Tesla presume de tener coches muy seguros a nivel informático, tanto que en más de una ocasión ha retado a hackers de todo el mundo a intentar vulnerar los sistemas de sus coches. Sin embargo, no todo es color de rosa y la compañía estadounidense se ha visto envuelta en un problema que afecta a la privacidad de sus clientes. Un conocido hacker acudió al portal de venta online eBay, buscando componentes electrónicos de antiguos Tesla, y ha acabado descubriendo que contenían información personal de los propietarios anteriores como la dirección de su domicilio, el trabajo o la contraseña del WiFi.

Desde hace un tiempo, Tesla ha cambiado las unidades de control de medios (MCU por sus siglas en inglés) de sus coches para actualizarlas y dotarlas de mayores capacidades. Este dispositivo es una especie de placa base, una computadora, que controla el sistema de infoentretenimiento y almacena la información del propietario vinculada con el vehículo.

En los Model S y Model X más antiguos, la MCU se sustituía porque la primera generación del dispositivo (MCUv1) solía fallar a los cuatro a cinco años. No obstante, más adelante se descubrió que la nueva MCUv2 también podía fallar por un problema en el chip de almacenamiento flash, que podía dejar inutilizado el sistema y obligar a cambiarlo entero (pantalla central incluida).

Los Tesla Model 3 y Model Y trabajan de manera diferente, y la MCU va integrada con el procesador que controla el hardware del Autopilot, formando un conjunto denominado ICE. Esta computadora también necesita actualizarse en los coches más antiguos si el propietario del vehículo decide comprar el sistema de 'conducción autónoma total'. En los casos en que haya que sustituir este componente, Tesla puede reemplazarlo por uno completamente nuevo o uno reacondicionado. Y es aquí cuando viene el problema: tanto la MCUv1 y la MCUv2 como la ICE están involucradas en un problema de privacidad de datos.

Ordenadores usados en el mercado de segunda mano... Con los datos de los propietarios

Como es lógico por una cuestión de comodidad, la mayoría de propietarios (si no todos) quieren que sus datos personales se transfieran al nuevo sistema, para lo cual es imprescindible utilizar el ordenador antiguo como fuente. Una vez que la computadora original se retira del vehículo, el propietario ya no tiene la capacidad de borrar sus propios datos. Lo normal sería que Tesla los eliminase por completo, pero no es así.

El conocido hacker GreenTheOnly, que en más de una ocasión nos anticipa noticias sobre Tesla, descubrió hace poco que algunas de estas computadoras han acabado a la venta en portales por Internet. Si bien esto no debería suceder (más adelante explicaremos por qué), el mayor problema es que seguían conteniendo datos personales y confidenciales de los propietarios anteriores.

Datos personales como la dirección del domicilio y del trabajo; el número de teléfono, la agenda de contactos y el historial de llamadas; y contraseñas de todo tipo, desde las redes WiFi guardadas hasta las contraseñas del correo electrónico, Spotify, Netflix, YouTube, etc. Según el propio hacker, antes de sacar esta información a la luz pública en InsideEVs, se puso en contacto con Tesla para informarle del problema. No obtuvo respuesta por parte de la compañía.

¿Cómo han llegado a eBay piezas usadas con datos confidenciales?

Sorprendentemente, la sustitución de este componente solamente la puede realizar la propia Tesla, ya sea en los Service Center o a través del servicio móvil. Según fuentes de InsideEVs, los técnicos que realizan estas modificaciones tienen instrucciones de tirar directamente las computadoras viejas, y al parecer tienen la orden de dañarlas físicamente (con un martillo, por ejemplo) antes de tirarlas. No obstante, romper el hardware externamente no necesariamente afecta a la información almacenada en sistema, que sigue siendo recuperable, como ha quedado demostrado.

Una de las incógnitas por resolver es saber cómo han llegado al mercado de segunda mano estas piezas. Básicamente hay dos hipótesis: por un lado, que los Centros de Servicio los tiren directamente a la basura y gente anónima los haya recuperado del contenedor; o bien que los técnicos de Tesla guarden estos componentes y los vendan posteriormente para conseguir un dinero extra.

Como es lógico, las MCU dañadas cuestan menos que las que están en buen estado. Conforme ha ido aumentando la oferta, los precios en eBay han ido disminuyendo desde 500 hasta 150 dólares, de manera que cada vez más aficionados han ido comprando estas computadoras para investigar y hacer incursiones en su sistema (son prácticamente inservibles para usarlas en otros coches).

Como no todo el mundo sabe por dónde empezar, uno de estos compradores contactó con 'greentheonly' en busca de ayuda y fue así, casi por casualidad, como se descubrió el problema. Tan extraña le debió parecer la situación al hacker que este compró otra unidad para sí mismo, para confirmar si era común a todas. Efectivamente lo era.

Tesla guarda silencio

Tras el descubrimiento, InsideEV y GreenTheOnly compraron conjuntamente varias unidades de control más, resultando que en todas podían recuperarse los datos personales. Desde el medio de comunicación contactaron con los propietarios de los que pudieron obtener sus datos, para informales de la situación, conocer su opinión sobre lo sucedido y confirmar si querían que se destruyera la información.

También han intentado -de nuevo- ponerse en contacto con Tesla, pero la compañía no ha hecho ningún comunicado ni aportado ninguna explicación al respecto.

¿Qué hacer si eres propietario de un Tesla?

Si la MCU o ICE de tu coche no ha tenido que ser sustituida, no tienes de qué preocuparte (al menos por ahora, aunque llegado el momento ya irás sobre aviso).

Si, por contra, en algún momento hubo que sustituir la MCU en tu Tesla, es recomendable cambiar todas las contraseñas que pudiera haber en el sistema. 

Conversaciones: