En los últimos años los vehículos han evolucionado tanto a nivel tecnológico que son como “ordenadores sobre ruedas”, por lo que los fabricantes cada vez recurren más a hackers éticos o de sombrero blanco capaces de detectar y solucionar posibles vulnerabilidades de seguridad.
Estas prácticas, más habituales hasta ahora en el sector de las empresas tecnológicas, además de velar por la seguridad allanan el terreno para el coche autónomo y conectado, extremadamente dependiente del software.
Pero, ¿están bien pagados estos hackers para lo determinante que puede llegar a ser su trabajo? Según este informe de HackerOne, no tanto.
Cuando lo barato puede salir extremadamente caro
En las marcas automovilísticas la tecnología cada vez es más importante. Esto trae ventajas en forma de comodidades para el usuario, pero también inconvenientes en forma de brechas importantes de seguridad.
Desde los sensores hasta algunos accesorios, pasando por las simples actualizaciones inalámbricas u 'Over The Air' (OTA), son posibles puertas de entrada a los hackers que permita corromper el software.
Esto hace posible que se den casos como el del sonado Jeep Cherokee que en 2015 fue controlado remotamente por unos hackers que demostraron que eran capaces de girar el volante, frenar y acelerar el coche. La firma acabó retirando temporalmente 1,4 millones de vehículos para solucionar el problema.
Y el problema puede llegar a ser mucho más serio de lo que parece. Muestra de ello es el informe del investigador Sam Curry, que a finales de 2022 evaluó la ciberseguridad de varios fabricantes de vehículos y sus sistemas telemáticos y descubrió gran cantidad de vulnerabilidades.
We recently found a vulnerability affecting Hyundai and Genesis vehicles where we could remotely control the locks, engine, horn, headlights, and trunk of vehicles made after 2012.
— Sam Curry (@samwcyo) November 29, 2022
To explain how it worked and how we found it, we have @_specters_ as our mock car thief: pic.twitter.com/WWyY6vFoAF
Entre otras cosas, Curry demostró cómo coches de marcas como Acura, Honda, Infiniti, Kia o Nissan podían ser hackeados con solo el número de identificación del vehículo. Esto incluye no solo acceder a la ubicación y el desbloqueo de ciertos automóviles, sino encender o apagar los motores o tocar el claxon.
Los ‘hackers de sombrero blanco’ pueden ayudar a la industria a controlar este tipo de fallos, e incluso la agencia estatal estadounidense NHTSA publicó el año pasado un manual de buenas prácticas que deben seguir los fabricantes de automóviles para evitar hackeos.
Pero según el último análisis de HackerOne, el sector de la automoción es el que peor paga a estos aliados de guante blanco de los ocho que analiza, pues apenas recompensó con 483.809 dólares (unos 458.041 euros) en todo 2022 a los hackers éticos por encontrar fallos de seguridad, con un sueldo medio de poco más de 2.000 dólares (1.893 euros) por proyecto.
Para hacernos una idea, las empresas que se dedican al ámbito de Internet pagaron hasta 13,1 millones de dólares el año pasado a los hackers que les ayudan a detectar fallos de seguridad. Las englobadas en el ámbito de las telecomunicaciones, 4,7 millones de dólares (casi 4,5 millones de euros), y las gubernamentales, recompensaron a los “hackers amigos” con 703.084 dólares (unos 665.637 euros).
Entre los ejemplos más concretos del informe encontramos que fabricantes como Stellantis, que utiliza Bugcrowd (una empresa de gestión de ciberseguridad de San Francisco, EEUU) paga entre 150 y 7.500 dólares (entre 142 y 7.100 euros al cambio) por vulnerabilidad descubierta, con una media de 737,50 dólares en los últimos tres meses (algo menos de 700 euros).
Sin embargo, los hackers que participaron en una conferencia celebrada en febrero en Miami sobre vulnerabilidades en el sector industrial ganaron entre 5.000 y 40.000 dólares (entre 4.731 y 37. 853 euros) por brecha detectada, según SecurityWeek.
Un problema que no afecta solo a los vehículos
Eaton Zveare, un hacker aficionado de Sarasota (Florida, EEUU) a finales del año pasado demostró que un pirata informático puede llegar muy lejos no solo accediendo al software de un vehículo, sino a las entrañas de las propias marcas, entrando en su sistema y accediendo a información confidencial extremadamente valiosa.
Zveare vulneró el portal web de gestión global de proveedores de Toyota, obteniendo acceso de lectura y escritura a más de 14.000 cuentas de correo electrónico corporativas, que contenían información como documentos confidenciales asociados, proyectos, etc. El hacker avisó a Toyota, quien cerró rápidamente la brecha de seguridad.
La marca japonesa agradeció a Zveare su trabajo, pero no hubo compensación económica alguna. “Teniendo en cuenta los beneficios que obtienen cada año, creo que deberían destinar al menos una parte a recompensar a los investigadores”, afirmó.
El problema, que lleva tiempo sobre la mesa, seguirá creciendo a medida que la tecnología de los coches siga aumentando. “Los fabricantes de automóviles tendrán que ofrecer mejores recompensas si quieren la ayuda de investigadores de seguridad que buscan vulnerabilidades”, declaraba el experto de KnowBe4, Roger Grimes, a Automotive News.
De lo contrario, los hackers de sombrero blanco pueden desanimarse y dirigir sus esfuerzos hacia industrias que valoren más sus conocimientos y su trabajo. “O lo que es peor, podrían vender sus habilidades a actores nefastos que tengan como objetivo el sector del automóvil”, afirma Grimes.
