Hackers reconstruyen el historial completo de un coche siniestrado usando solo un módulo informático

En la era digital, la privacidad se ha convertido en un lujo difícil de mantener. Desde el teléfono móvil hasta los dispositivos "inteligentes" o incluso los coches, la mayoría de los objetos que nos rodean recopilan datos sobre nosotros. Aunque algunos usuarios optan por vehículos sin funciones avanzadas como navegación o sistemas de emergencia por GPS, la realidad es que la mayoría de los coches modernos —especialmente los fabricados en las últimas dos décadas— incorporan cajas negras digitales que registran información detallada sobre su uso.

Los módulos telemáticos: el "cerebro" oculto de los coches

Estos vehículos disponen de módulos telemáticos, dispositivos encargados de gestionar la comunicación entre el coche y diversas redes, incluyendo la recepción de datos GPS. Estos módulos almacenan información extremadamente precisa: desde el estado mecánico del vehículo hasta su ubicación exacta en cada momento. Lo más preocupante es que, en muchos casos, estos datos no están cifrados y pueden persistir incluso después de que el módulo sea extraído del coche.

Si un atacante logra acceso físico a uno de estos módulos, podría reconstruir toda la trayectoria del vehículo, incluyendo paradas, rutas y detalles de su vida útil. Un equipo de hackers éticos lo demostró utilizando un módulo telemático recuperado de un BYD Seal siniestrado, adquirido de segunda mano para garantizar que contuviera datos de usuario.

Del taller al desguace: cómo se reconstruyó el historial completo

Para acceder a los datos almacenados en el módulo, los hackers tuvieron que crear su propio sistema de conexión, similar a los dispositivos utilizados para modificar mapas de combustible en coches tuneados, pero sin depender de la interfaz OBDII estándar. Con la ayuda de la herramienta ubireader, lograron extraer el sistema de archivos completo, incluyendo particiones como modem, custapp y system.

«A partir de los archivos extraídos, nos centramos en el sistema raíz (rootfs) y el espacio de usuario (usrfs) para buscar artefactos ocultos o de interés», explicaron en su informe. Dado que los datos no estaban cifrados, el proceso fue relativamente sencillo. Mediante el análisis de los registros GNSS (sistema global de navegación por satélite), pudieron reconstruir la vida completa del vehículo: desde su fabricación en una fábrica de China, pasando por su uso en el Reino Unido, hasta su desguace en Polonia.

«Al analizar las coordenadas, reconstruimos cada movimiento y parada del vehículo, ofreciendo una imagen completa de su trayectoria».

Herramientas públicas y datos accesibles

Lo más sorprendente es que este proceso no requirió herramientas especializadas ni acceso a bases de datos privadas. Los hackers utilizaron herramientas de inteligencia de código abierto (OSINT) para vincular puntos de datos anómalos con eventos reales en el mundo físico. La OSINT, o inteligencia de fuentes abiertas, engloba métodos para recopilar información sin necesidad de pagar por ella, como el análisis de imágenes satelitales o registros públicos.

Con este enfoque de dos pasos —extracción de datos del módulo y cruce con información OSINT—, lograron trazar una ruta detallada del coche, incluyendo paradas en gasolineras, talleres o incluso posibles rutas turísticas. «Cada coordenada y evento registrado en los logs del vehículo puede correlacionarse con actividades concretas», añadieron.

Implicaciones para la privacidad y la seguridad vial

Este experimento plantea serias preguntas sobre la protección de datos en los vehículos modernos. Aunque los fabricantes argumentan que estos registros son útiles para mejorar la seguridad o resolver accidentes, la falta de cifrado los convierte en un objetivo atractivo para ciberdelincuentes, empresas de seguros o incluso gobiernos.

Además, la facilidad con la que se pueden reconstruir estos datos subraya la importancia de implementar medidas de seguridad robustas en los sistemas telemáticos. Los usuarios, por su parte, deberían ser conscientes de que, incluso al deshacerse de un coche, los datos personales asociados a su uso podrían seguir siendo accesibles.

¿Qué pueden hacer los propietarios?

• Verificar el cifrado de datos: Preguntar a los fabricantes si los módulos telemáticos de su vehículo protegen la información con cifrado.
• Eliminar datos antes de vender o desechar el coche: Algunos talleres ofrecen servicios para borrar los registros almacenados en estos dispositivos.
• Revisar la política de privacidad: Conocer qué datos recopila el vehículo y cómo se gestionan puede evitar sorpresas.
• Usar herramientas de diagnóstico: Existen dispositivos que permiten acceder a estos módulos para revisar qué información almacenan.

La tecnología avanza a un ritmo vertiginoso, pero la privacidad sigue siendo un derecho fundamental. Este caso demuestra que, en la era del coche conectado, la seguridad de nuestros datos personales depende, en gran medida, de las decisiones que tomemos hoy.