Pasar al contenido principal
Sister Publication Links
  • Automotive News
  • Automotive News Canada
  • Automotive News Europe
  • Automotive News China
México
Subscribe
  • Suscripción Gratuita-Tiempo Limitado
  • ingrese
  • INICIO
  • Noticias por marca
    • Audi
    • BMW
    • Chrysler
    • Kia
    • Mazda
    • Nissan
    • Fiat
    • Ford
    • General Motors
    • Honda
    • Hyundai
    • Mercedes
    • Renault
    • Toyota
    • Volkswagen
    • Audi México anuncia cambios en su consejo ejecutivo
      Fórmula E: un vistazo al futuro eléctrico
      Producción mexicana de vehículos crece 9.9% en enero
      Tesla reducirá su fuerza de trabajo en un 7%
    • Fórmula E: un vistazo al futuro eléctrico
      Vehículos autónomos colocan a proveedores en una posición incómoda
      ¿Quiénes están comprando vehículos eléctricos en China?
      Walker, de Magna: Formar alianzas para mantener los autos a buen precio
    • Acciones de Fiat Chrysler se desploman por decepcionantes previsiones
      Venta de autos en México crece 1.9% en enero
      La escasez de gasolina impulsa a los automovilistas a volverse verdes
      Automotrices de EEUU presionan por acuerdo para reglas sobre eficiencia de combustibles
    • Pronostica AMDA más ventas en Tamaulipas
      ¿Es real el crecimiento en las ventas de autos en México?
      Venta de autos en México crece 1.9% en enero
      Kia hace cambios en su organigrama en México
    • Producción mexicana de vehículos crece 9.9% en enero
      Venta de autos en México crece 1.9% en enero
      Avances del Chicago Auto Show de esta semana
      Kia presenta nuevo Forte hatchback en México
    • Cierre de fábrica de Honda no se relaciona con Brexit
      Fórmula E: un vistazo al futuro eléctrico
      Grupo Vegusa abre nuevo distribuidor de Nissan en Guanajuato
      Ejecutivos de Nissan, Renault y Mitsubishi reafirman valor de su alianza
    • Fabricantes de autos pierden hasta 1 mdd diario por bloqueos al ferrocarril
      Acciones de Fiat Chrysler se desploman por decepcionantes previsiones
      Venta de autos en México crece 1.9% en enero
      Sólidas ventas de autos levantan el ánimo en feria automotriz de Brasil
    • São Paulo buscará comprador para la planta de Ford próxima a cerrar
      Ford abandonará negocio de camiones en América del Sur
      Cierre de fábrica de Honda no se relaciona con Brexit
      VW y Ford, lejos de alcanzar acuerdo de inversión en vehículos autónomos
    • App de GM para localizar vehículos llega a México
      El startup eléctrico Rivian consigue inversión de 700 mdd liderado por Amazon
      GM presenta su camioneta Blazer en México
      VW y Ford, lejos de alcanzar acuerdo de inversión en vehículos autónomos
    • Cierre de fábrica de Honda no se relaciona con Brexit
      Honda cerrará una planta en Reino Unido y deja 3,500 empleos en el aire
      Fabricantes de autos pierden hasta 1 mdd diario por bloqueos al ferrocarril
      GM es el principal productor en México mientras disminuye la producción de la industria
    • Cómo Hyundai Canadá dio un viraje
      Hyundai le dice adiós al patrocinio con la NFL
      Kia presenta nuevo Forte hatchback en México
      Genesis G70, Ram 1500 y Hyundai Kona ganan premios en show de Detroit
    • Producción mexicana de vehículos crece 9.9% en enero
      La escasez de gasolina impulsa a los automovilistas a volverse verdes
      Daimler arranca producción de Clase A Sedán en México
      Mercedes presenta CLA con motor más robusto para 2020
    • Ejecutivos de Nissan, Renault y Mitsubishi reafirman valor de su alianza
      Renault anulará indemnizaciones de hasta 30 millones de euros a Ghosn
      El Twizy de Renault tiene nueva vida en Corea como reemplazo de motocicletas
      Venta de autos en México crece 1.9% en enero
    • Toyota lanzará vehículo autónomo a la venta en un año
      Nissan recorta sus perspectivas y reserva más dinero por Ghosn
      Producción mexicana de vehículos crece 9.9% en enero
      Toyota actualiza su Tacoma 2020 con nuevas opciones de infoentretenimiento
    • Seat lanza las versiones Beats de Ibiza y Arona en México
      VW y Ford, lejos de alcanzar acuerdo de inversión en vehículos autónomos
      Producción mexicana de vehículos crece 9.9% en enero
      ¿Es real el crecimiento en las ventas de autos en México?
  • OEM/PROVEEDORES
    • Coches y Conceptos
    • Líderes
    • TLCAN
    • Nuevas Tecnologías
    • OEMs
    • Proveedores
    • Tecnología de Manufactura
    • Eventos y Expos
    • El startup eléctrico Rivian consigue inversión de 700 mdd liderado por Amazon
      Cadillac: 'Tenemos una oportunidad'
      Honda acelera producción para recuperar ventas en México
      Modelo 3 de Tesla logra luz verde en Europa
    • La escasez de combustible en México preocupa a la industria automotriz
      Tesla comenzará a entregar el Model 3 a China en marzo
      Tesla nombra a Larry Ellison y ejecutiva de Walgreens a junta
      Nissan nombra a José Valls como jefe de ventas en América del Norte
    • La UE debate cuándo iniciar las conversaciones comerciales con Trump
      Fecha límite para las pláticas con China puede cambiar: Trump
      Proveedores estarán sometidos a presión de costos con el T-MEC: encuesta
      Sindicato de GM continúa protesta en Oshawa mientras se reanuda la producción
    • Robots colaborativos son 80 por ciento más productivos que los tradicionales
      Toyota lanzará vehículo autónomo a la venta en un año
      En los sistemas ciber-físicos, el reto es la conectividad
      Automatizar y generar datos, claves para entrar en la 4ta Revolución Industrial
    • Seat lanza las versiones Beats de Ibiza y Arona en México
      App de GM para localizar vehículos llega a México
      Querétaro: epicentro de la industria automotriz en México
      Grupo Vegusa abre nuevo distribuidor de Nissan en Guanajuato
    • Fabricantes de autos pierden hasta 1 mdd diario por bloqueos al ferrocarril
      Inauguran la XXIII edición de Expo Manufactura en Monterrey
      Industria automotriz, principal impulsor de la robótica en México
      Huelga de exportadores mexicanos cumple una semana con millonarias pérdidas
    • Volvo consigue aprobación para probar vehículo autónomo en Suecia
      La escasez de gasolina impulsa a los automovilistas a volverse verdes
      El auto volador de Boeing despega para revolucionar los viajes urbanos
      Toyota presenta el RAV4 híbrido en México
    • Auto Shows
    • Eventos Relacionados
  • CONCESIONARIOS
    • Mejores Prácticas
    • Financiamiento y Seguro
    • Ventas en México
    • Noticias de Concesionarios
    • ¡Cierre de plantas! ¡Suscripciones! ¿Por qué los distribuidores deberían actualizarse?
      Jaguar Land Rover triplicó sus ventas en México: ¿Cómo lo logró?
      ¿Un Kia con su café Starbucks?
      ¿Unas papas a la francesa con su Ford?
    • Las operaciones fijas pueden brindar protección en tiempos difíciles
      Compradores claman por transacciones en línea, pero los obstáculos siguen
      Estrategia de Nissan busca acortar ciclo de cambio de autos en México
      México Car Fast revoluciona la venta de autos en línea - CEO
    • Producción mexicana de vehículos crece 9.9% en enero
      GM es el principal productor en México mientras disminuye la producción de la industria
      Toyota presenta el RAV4 híbrido en México
      Suzuki se alía con Banco Santander en México
    • São Paulo buscará comprador para la planta de Ford próxima a cerrar
      GM presenta su camioneta Blazer en México
      Cómo Hyundai Canadá dio un viraje
      ¿Qué esperan los concesionarios de una marca de autos?
  • COMENTARIO/OPINIÓN
  • MÁS
    • Edicion Digital
    • Contacto
    • Publicidad/Media Kit
    • Acerca de Nosotros
    • Acera de Crain Communications
MENU
Sobrescribir enlaces de ayuda a la navegación
  1. Inicio
  2. México
Octubre 15, 2018 12:00 AM

Un día en la vida de la ciberseguridad de la industria automotriz

Cómo un hacker descubrió una enorme fisura en los datos de clientes a través de un proveedor de robótica en Canadá

Edward Niedermeyer
  • Pío
  • Compartir
  • Compartir
  • correo electrónico
  • Más
    Imprimir
    El problema en materia de seguridad es que tienes los ojos cerrados, así que no te das cuenta de que algo está roto. Nunca sabes que los malos se están metiendo: Chris Vickery

    Para Chris Vickery todo comenzó en un día de trabajo típico. El director de investigación de riesgos cibernéticos para UpGuard estaba haciendo un escaneo de puertos, un proceso de cómputo similar a tocar la puerta para ver quién está en casa. Se trata de una rutina que él realiza casi a diario en un intento por saber qué computadoras están expuestas a la intromisión de los hackers.

    La misión de UpGuard como startup especializada en ciberseguridad es alertar sobre filtraciones de datos. Como parte de ese esfuerzo, la empresa contrató a Vickery, quien acaparó la atención por encontrar mucha información sensible que está disponible a través de internet. Ha descubierto detalles de cuentas de 13 millones de usuarios en línea de MacKeeper de Apple, así como información de casi todos los electores estadounidenses que pusieron datos en línea a disposición de una consultora republicana, junto con la evidencia de que un aeropuerto de Nueva York había dejado en línea archivos altamente sensibles y sin seguridad durante casi un año.

    En la mañana del 1 de julio, Vickery estaba haciendo un escaneo aleatorio de direcciones del protocolo de internet a través del puerto 873. Fue entonces que advirtió un par de unidades de disco duro que estaban aceptando conexiones del internet público.

    Los números de puertos son una especie de direcciones para aquellas puertas que Vickery estaba tocando. La mayoría del tráfico de internet cruza por el puerto 80 o el puerto 443, los cuales se usan para transitar a y desde direcciones http y https. El puerto 873 se hace a un lado para dar cabida a una herramienta de sincronización de archivos remoto de fuente abierta. Esa herramienta, conocida como rsync, se usa generalmente para respaldar archivos. El puerto 873 puede restringirse a computadoras y usuarios confiables mediante la colocación de una puerta sencilla.

    Pero lo que Vickery descubrió ese día fue un par de unidades de disco duro de respaldo que estaban completamente expuestas al tráfico del internet público. La puerta estaba bien abierta.

    No es inusual

    Los profesionales de seguridad lamentan que las industrias tiendan a subestimar los riesgos que enfrentan hasta que un gran acto de piratería cibernética o una fisura los sobresalta. La llamada de alerta de la industria automotriz, concretamente por lo que concierne a la ciberseguridad de los vehículos conectados, tuvo lugar hace tres años, cuando los investigadores en la materia Chris Valasek y Charlie Miller difundieron una vulnerabilidad que les permitió hackear un Jeep Cherokee.

    Muchos expertos en seguridad intentan llamar la atención de las industrias detectando vulnerabilidades y haciendo que las empresas sean conscientes de la violación de datos.

    El encontrar una puerta abierta como la que Vickery descubrió esa mañana de julio no es algo particularmente inusual. El propio Vickery dice que sus escaneos de rutina derivan en datos sin protección más o menos una vez por semana, y los sistemas automatizados de UpGuard encuentran diariamente miles de violaciones de datos más pequeñas.

    Sin embargo, en cuanto Vickery descargó los datos, pudo advertir que podría tratase de información sensible. Uno de los directorios tenía por nombre “Archivos de clientes”. Según dijo, “ese es siempre un directorio sustancioso”.

    E incluso resultó más sustancioso: dentro del directorio había una carpeta llamada “Tesla”. Fue entonces cuando Vickery se percató de que ésta era probablemente una importante violación de datos.

    “Tengo la impresión de que los datos relacionado con Tesla están por lo general sumamente protegidos y que la empresa busca que se respete esa protección”, agregó Vickery.

    Enorme fisura

    El especialista se aprestó a teclear en Google las palabras “Level One”, nombre de la empresa a la que pertenecían las unidades de disco duro. En cuanto vio que la compañía de Windsor, Ontario, ofrecía automatización y robótica a la industria automotriz, se dio cuenta de que acaba de descubrir un conjunto de datos extremadamente sensibles. Los archivos ponían de manifiesto toda la relación entre la empresa de robótica y su hermético cliente, un fabricante de autos eléctricos.

    “Había acuerdos de confidencialidad, fotos de la planta de producción de Tesla, diagramas asistidos por computadora de sus fábricas. No es que estuviera el 100 por ciento de los archivos necesarios para construir una fábrica de Tesla, pero sí había ahí una cantidad sorprendente de ellos. Me pareció que era algo por lo que un abogado de Tesla hubiera sufrido un infarto al saber que esa información estaba disponible en el internet abierto”, explicó Vickery.

    Los datos no sólo se relacionaban con Tesla. General Motors, Ford, Fiat Chrysler, Volkswagen y Toyota tenían proyectos con Level One, y sus datos eran revelados gracias a esa grieta. Se exponía información que podía haber ayudado a los piratas informáticos a causar mayor lío, incluyendo detalles de cuentas bancarias, formas para solicitar el acceso a la red privada virtual y solicitudes de tarjetas de identificación, así como detalles personales de los empleados de Level One, tales como copias escaneadas de licencias y pasaportes.

    En suma, 157 gigabytes de datos sensibles estaban expuestos. Para dar una idea de lo anterior, una hora de video en streaming utiliza aproximadamente 1 GB de datos, de modo que la violación de datos equivalía a alrededor de seis y media horas continuas de televisión.

    Dada la cantidad de datos y el nivel de detalles descritos, Vickery pudo determinar rápidamente que no se trataba de una “bandera falsa” para tomarle el pelo o hacer quedar mal a Level One. Por lo tanto, dio el siguiente paso: enviarle un email estandarizado a Milan Gasko, director general de Level One, para informarle sobre la fisura encontrada.

    A los pocos días envió el email. Pero después no ocurrió nada; nadie respondió.

    Vickery explicó que es bastante común ser ignorado en un acercamiento inicial, dado que las empresas piensan a menudo que se trata de un estafador abusando de los peores temores de una compañía.

    Varios días después, y aún sin respuesta, Vickery llamó a Level One y habló con una recepcionista que le dijo que el director general no solía darle seguimiento a la dirección de correo electrónico a la que él se había dirigido. Ella tomó nota del mensaje y dijo que le devolvería la llamada a la mañana siguiente.

    Solución sencilla

    “Aproximadamente 45 minutos más tarde recibí la llamada”, aseguró Vickery. En cuanto habló por teléfono con la compañía, estaba claro que la situación se estaba tomando con mucha seriedad.

    Vickery describió lo que vio, así como el tipo de dispositivos a los que probablemente se había accedido con base en el número de bits de metadatos expuestos.

    La compañía encontró los dispositivos de almacenamiento mientras Vickery estaba en la línea y resolvió el problema en un instante, con un movimiento sencillo: desconectándolos.

    Ya con la certeza, Vickery escaneó nuevamente los puertos, que ya no estaban. La grieta estaba protegida, al menos temporalmente.

    Frente a la pregunta de si la mayoría de las grietas se resuelven tan fácilmente, Vickery se rio. “Por lo regular, no basta con simplemente desenchufar el dispositivo”, dijo. “Generalmente se requiere un poco más que eso”.

    En vista de que no había señales de actividad criminal o evidencia de que los datos expuestos habían sido vistos por alguien más que el propio Vickery, lo único que quedaba por hacer era redactar un reporte oficial de UpGuard.

    A Vickery todavía no le queda del todo claro cómo es que los dispositivos de almacenamiento se dejaron abiertos al tráfico público, públicamente grabables, y Level One no dice nada. La compañía se rehusó a comentar al respecto para este reporte.

    “En Level One han sido muy humildes y amables, pero han recurrido a asesoría externa, y yo estoy firmando una declaración en donde establezco que he eliminado toda la información a la que tuve acceso”, agregó el experto.

    Errores fáciles

    Vickery sostiene que, en su mayoría, las violaciones de datos se deben a errores sencillos, como los “dedazos” al momento de teclear el código o a la conexión de una base de datos al puerto equivocado en un cuarto de servidores. Y agrega que, especialmente a medida que las empresas manufactureras se reinventan a sí mismas para el paradigma hiperconectado, impulsado por datos, siempre habrá algún riesgo de un error involuntario que deje expuestos los datos sensibles.

    En el ámbito manufacturero, continúa, los proveedores están tratando frecuentemente de competir entre sí por los precios, y muchas empresas ven a la seguridad como un gasto adicional. Pero el axioma “si no está roto, no lo arregles” no funciona en el mundo conectado.

    “Ahora bien, el problema fundamental en materia de seguridad es que tienes los ojos cerrados, así que no te das cuenta de que algo está roto. Nunca sabes que los malos se están metiendo”, advierte Vickery.

    Y explica que si una compañía no tiene los recursos para contratar a un proveedor como UpGuard, hay una forma sencilla de monitorear la seguridad de la base de datos: “Basta pedirle a alguien del equipo de TI que se vaya temprano a casa con una lista de tus direcciones IP y pedirle que intente conectarse a tus sistemas sin ningún acceso privilegiado. Si todas las empresas hicieran eso una vez al mes, probablemente yo no tendría empleo”.

    ÚLTIMA EDICIÓN
    Thumbnail
    Ir a nuestra edición digital
    Boletines Electrónicos
    DIRECCIÓN DE CORREO ELECTRÓNICO

    Please enter a valid email address.

    Please enter your email address.

    Please select at least one newsletter to subscribe.

    Boletines informativos

    Regístrese y obtenga lo mejor de Automotive News Mexico entregado directamente en su correo electrónico, sin cargo. Elija su noticia - nosotros la entregaremos.

    EDICIÓN PRELANZAMIENTO

    Explore la edición digital de nuestra edición preliminar, que se publicó en noviembre de 2018. Nuestra edición de debut se publicará en la primavera.

    Ir a nuestra edición digital
    Conéctate con nosotros
    • LinkedIn
    • Facebook
    • Twitter

    Nuestra misión

    La misión de Automotive News México es ser la principal fuente de noticias y datos de la industria para los tomadores de decisiones del sector en México.

    México
    Contacto

    Paseo de la Reforma 243,
    Torre Mapfre, Piso 18
    Colonia Cuauhtémoc
    Ciudad de México, México 06500

    (386) 246-0463

    Enviar correo electrónico al servicio cliente

    Recursos
    • Personal
    • Publicidad/Media Kit
    • Ad Choices Ad Choices
    • Sitemap
    Legal
    • Términos y Condiciones
    • Declaracion de privacidad
    Copyright © 1996-2019. Crain Communications, Inc. All Rights Reserved.
    • INICIO
    • Noticias por marca
      • Audi
      • BMW
      • Chrysler
      • Kia
      • Mazda
      • Nissan
      • Fiat
      • Ford
      • General Motors
      • Honda
      • Hyundai
      • Mercedes
      • Renault
      • Toyota
      • Volkswagen
    • OEM/PROVEEDORES
      • Coches y Conceptos
      • Líderes
      • TLCAN
      • Nuevas Tecnologías
      • OEMs
      • Proveedores
      • Tecnología de Manufactura
      • Eventos y Expos
        • Auto Shows
        • Eventos Relacionados
    • CONCESIONARIOS
      • Mejores Prácticas
      • Financiamiento y Seguro
      • Ventas en México
      • Noticias de Concesionarios
    • COMENTARIO/OPINIÓN
    • MÁS
      • Edicion Digital
      • Contacto
      • Publicidad/Media Kit
      • Acerca de Nosotros
      • Acera de Crain Communications