¿Están a la Venta Tus Hábitos de Conducción y Ubicación? GM Dice Sí, la FTC Dice No

La Comisión Federal de Comercio (FTC, por sus siglas en inglés) ha iniciado acciones legales contra General Motors (GM) y su subsidiaria OnStar por prácticas no autorizadas y engañosas relacionadas con la recopilación y venta de datos sensibles de conductores. La investigación reveló que GM recopilaba sistemáticamente datos de geolocalización precisa y comportamientos de conducción de millones de vehículos sin obtener el consentimiento explícito de los consumidores. Posteriormente, estos datos se vendieron a organizaciones externas, generando preocupaciones significativas sobre privacidad y ciberseguridad.

Esta intervención regulatoria subraya la necesidad crítica de transparencia y protección al consumidor en el panorama en rápida evolución de las tecnologías automotrices conectadas.

Principales Hallazgos

Recopilación de Datos no Autorizada:
- GM y OnStar recopilaban datos de geolocalización en intervalos de tres segundos, junto con detalles de comportamiento de conducción como aceleración, frenado y velocidad. Esto se realizó sin obtener el consentimiento previo de los consumidores, violando sus expectativas de privacidad.
Prácticas Engañosas:
- La función “Smart Driver” de OnStar se promocionó como una herramienta para que los conductores evaluaran y mejoraran sus hábitos, pero la FTC reveló que era principalmente un mecanismo para recopilar y monetizar datos de los conductores.
- Las declaraciones de privacidad de GM no informaban adecuadamente a los consumidores sobre cómo se recopilaban, compartían o vendían sus datos, creando una falsa sensación de seguridad entre los propietarios de vehículos.
Monetización de Datos:
- Los datos recopilados se vendieron a agencias de informes de consumo, como Verisk, Lexis Nexis y Jacobs Engineering. Estas entidades utilizaron los datos para ajustar las tarifas de seguros o negar coberturas, impactando financieramente a los consumidores y socavando la confianza en los servicios de GM.

Acuerdo Propuesto por la FTC

Para abordar estas violaciones, la FTC ha propuesto un acuerdo que incluye las siguientes disposiciones clave:

Prohibición de Compartir Datos:
- GM y OnStar tienen prohibido compartir datos de geolocalización y comportamientos de conducción con agencias de informes de consumo durante cinco años.
Consentimiento Obligatorio del Consumidor:
- El acuerdo requiere que GM obtenga el consentimiento explícito de los consumidores antes de recopilar o vender sus datos.
Requisitos de Eliminación de Datos:
- Los datos previamente retenidos deben eliminarse, a menos que los consumidores opten explícitamente por permitir su uso.
Controles Mejorados para Consumidores:
- Se debe proporcionar a los conductores herramientas claras y accesibles para ver, administrar y eliminar sus datos personales, así como opciones para desactivar por completo la recopilación de datos.
Mejoras en Transparencia y Divulgación:
- GM debe proporcionar declaraciones claras y comprensibles sobre los tipos de datos recopilados, su propósito y cómo serán utilizados.
Sanciones Civiles:
- Aunque no se impusieron multas inmediatas, la FTC ha establecido una posible sanción de $51,744 por violación. GM y OnStar tienen 180 días para cumplir con el acuerdo.

Implicaciones para la Comunidad Automotriz y de Ciberseguridad

Esta acción regulatoria resalta las crecientes preocupaciones sobre privacidad y seguridad de datos dentro del sector automotriz. La integración cada vez mayor de tecnologías conectadas en los vehículos ha creado nuevas vías para la recopilación de datos, superando con frecuencia los marcos regulatorios y la conciencia de los consumidores.

Cambio Regulatorio en Prácticas de Datos:
- La intervención de la FTC marca una postura más agresiva para responsabilizar a las empresas por el manejo indebido de los datos de los consumidores. También establece un precedente para una supervisión más estricta en la industria automotriz, donde las consideraciones de privacidad son tan críticas como las características de seguridad física.
Implicaciones para la Ciberseguridad:
- La venta de datos sensibles de conductores a terceros aumenta el riesgo de ciberataques y mal uso. Los corredores de datos y otras entidades que manejan esta información podrían convertirse en objetivos de piratas informáticos, comprometiendo información personal y financiera a gran escala.
Responsabilidad Corporativa:
- Este caso sirve como recordatorio para que las corporaciones prioricen la confianza del consumidor implementando medidas de ciberseguridad sólidas y políticas transparentes de gobernanza de datos. El incumplimiento de las normativas emergentes podría resultar en multas elevadas y daños reputacionales.

Casos Similares y Contexto de la Industria

El caso de GM no es aislado. Preocupaciones similares han surgido en los sectores automotriz y tecnológico:

Demanda contra Allstate: El fiscal general de Texas demandó recientemente a Allstate y su subsidiaria Arity por recopilar y vender datos de conducción de más de 45 millones de estadounidenses sin consentimiento.
Examen Global: Gigantes automotrices como Toyota, Chrysler y Mazda han enfrentado acusaciones de participar en prácticas de recopilación de datos no autorizadas, intensificando los llamados a estándares uniformes de privacidad en todas las industrias.

Estos desarrollos resaltan la necesidad urgente de una legislación coherente sobre privacidad de datos que responsabilice a las corporaciones por la protección de la información del consumidor.

Mirando al Futuro

La acción de la FTC contra GM y OnStar podría marcar un punto de inflexión, incitando a los fabricantes de automóviles y empresas tecnológicas a reevaluar sus prácticas de recopilación de datos. Para los profesionales de ciberseguridad, enfatiza la importancia de implementar sistemas que no solo aseguren los datos, sino que también respeten los derechos de los consumidores.

A medida que la industria automotriz continúa innovando, el equilibrio entre el avance tecnológico y la protección de la privacidad seguirá siendo un desafío central. Gobiernos, corporaciones y expertos en ciberseguridad deben colaborar para garantizar que la confianza del consumidor no se vea erosionada en la búsqueda de ganancias.

Jarvis Wagner

Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.

Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/

También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad

¿Están a la Venta Tus Hábitos de Conducción y Ubicación? GM Dice Sí, la FTC Dice No

Principales Hallazgos

Acuerdo Propuesto por la FTC

Implicaciones para la Comunidad Automotriz y de Ciberseguridad

Casos Similares y Contexto de la Industria

Mirando al Futuro

Exploits de WinRAR y archivos ZIP: este hackeo de archivos ZIP podría permitir que el malware eluda su antivirus

5 técnicas que utilizan los hackers para hacer jailbreak a los sistemas de inteligencia artificial de ChatGPT, Gemini y Copilot

Este kit de herramientas para hackers puede vulnerar cualquier sistema o red aislado: así es como funciona

Desde el hackeo de buscapersonas hasta las explosiones: ¡la operación de sabotaje ciberfísico de Israel contra Hezbolá!

Cinco técnicas para hackear Microsoft SmartScreen y Smart App Control (SAC) y ejecutar malware en Windows

Cómo se enviaron millones de correos de phishing desde dominios de confianza: explicación de EchoSpoofing

Cómo implementar el principio de privilegio mínimo (seguridad en la nube) en la nube de AWS, Azure y GCP

CANAL DE NOTICIAS DE CIBERSEGURIDAD