En ShopTalk hablamos mucho sobre los últimos avances en tecnología automotriz. Uno de los mayores avances de los últimos años fueron las nuevas computadoras de a bordo que se incluyen de serie en algunos vehículos. Desafortunadamente, esto ha generado nuevas vulnerabilidades. Lo peor de todo es que también significa nuevos problemas y errores que necesitan ser solucionados urgentemente. Parece que los fabricantes de automóviles, entre los que se encuentra FCA (Fiat-Chrysler Automobiles), han buscado solucionar ambos problemas simultáneamente. Su método es bastante poco ortodoxo:

El fabricante de automóviles está ofreciendo una recompensa de hasta $1,500 a los piratas informáticos que encuentren errores en su software y puedan solucionarlos.

Fiat Chrysler Automobiles está ofreciendo recompensas públicas, recompensas en efectivo para cualquiera que tenga el coraje y los conocimientos necesarios para encontrar vulnerabilidades y errores de seguridad en el software de sus nuevos vehículos. Este último avance se produce apenas un año después de que dos piratas informáticos demostraran al mundo que cualquiera podía tomar el control de un Jeep Cherokee de forma remota. Ahora FCA está más que dispuesta a pagarle por piratear sus coches y, con suerte, encontrar soluciones, pero eso sólo será posible si le dice a la empresa cómo lo hizo, además de demostrar simplemente que hizo el trabajo. En un esfuerzo concentrado por mejorar y aumentar su ciberseguridad y prevenir futuros incidentes como el infame hackeo del Jeep Cherokee del año pasado, FCA anunció que está trabajando con Bugcrowd para encontrar vulnerabilidades en el software de sus vehículos.

¿Qué es Bugcrowd?

Bugcrowd es lo que se conoce como una empresa de pruebas de seguridad de aplicaciones de colaboración colectiva. Bugcrowd llama a sus usuarios "investigadores de seguridad independientes" y se especializan en encontrar vulnerabilidades o exploits en los sistemas. Después de hacerlo con respecto a los vehículos de FCA, enviarían la información a Bugcrowd, antes de enviar un informe final a FCA. El objetivo de estos "piratas informáticos de sombrero blanco" (un término acuñado para referirse a las personas que utilizan el hackeo con fines positivos, no nefastos) será ayudar a FCA en sus esfuerzos por actualizar los sistemas y cerrar cualquier posible brecha de seguridad.

Los hackers recibirán entre 150 y 1500 chelines por cada fallo de seguridad legítimo a través del programa de recompensas por errores de Bugcrowd, gestionado por Bugcrowd. Bugcrowd cuenta con el respaldo de varias empresas de capital riesgo y de capital privado conocidas y ha recaudado un total de 15 millones de chelines en una ronda de financiación de Serie B en abril.

¿Qué es lo que principalmente preocupa a la FCA?

La FCA quiere que los piratas informáticos se centren específicamente en su sitio web UConnect y en las aplicaciones de iOS y Android de la empresa. En el momento de redactar este artículo, no hay recompensas por nada que esté fuera del ámbito de esas tres cosas. La propia Bugcrowd ha declarado públicamente que no emprenderá ninguna acción legal contra nadie que presente un exploit.

FCA no está sola en esto.

En la actualidad, además de FCA, Tesla ha comenzado su propio programa de recompensas por errores, que también está a cargo de Bugcrowd y que paga hasta 10.000 TPM a los piratas informáticos que encuentren vulnerabilidades creíbles. Mientras tanto, General Motors lanzó discretamente un programa en enero de 2016 para ayudar a conectar a la empresa con piratas informáticos de sombrero blanco. Aquellos piratas informáticos que encuentren errores o vulnerabilidades de seguridad podrán comunicarse con GM a través de un portal web seguro alojado por el competidor de Bugcrowd, HackerOne, una startup de seguridad con respaldo de capital de riesgo con sede en San Francisco que originalmente formaba parte de Facebook. En el momento de su lanzamiento, GM aún no pagaba a los piratas informáticos, lo que podría cambiar.

Hoy en día, circulan por las carreteras millones de los denominados coches conectados, que ya no se limitan a los salones del automóvil. Y desde entonces, se ha producido un enorme agujero de ciberseguridad si los piratas informáticos encuentran debilidades y deciden explotarlas. Esperamos que estos recientes avances sean un buen paso para cerrar esa brecha.