Motor.es

FCA y Tesla, fabricantes interesados en hackers éticos

Fiat Chrysler Automobiles imita a Tesla, y ofrece recompensas a aquellos hackers que consigan encontrar errores o vulnerabilidades en sus coches o páginas Web. De esta forma, se blinda la seguridad por un coste muy inferior al de usar servicios de consultoría.

6 min. lectura

Publicado: 13/07/2016 20:30

El auge del coche conectado a Internet tiene ventajas, pero también inconvenientes. De la misma forma que el dueño o el fabricante pueden controlar algunas funciones de forma remota, también es probable que una persona menos bienintencionada acceda sin permiso. Dependiendo del nivel de acceso que tenga, será un problema de mayor o menos gravedad.

Los ladrones han utilizado tradicionalmente herramientas mecánicas para acceder a los coches, hoy día usan mucha electrónica, y en el futuro lo harán todo con ordenadores, solo que ni siquiera necesitarán estar cerca. La mejor forma de evitar que algo así pueda ocurrir es cerrando cualquier forma de acceso no autorizado, y para eso los fabricantes necesitan ayuda externa.

Durante el desarrollo de cualquier solución de software, si se siguen los preceptos de la ingeniería, se tienen que probar todos los casos de uso para que no haya ninguna situación en la que un sistema tenga un comportamiento imprevisto, o falle. Lamentablemente, diseñar un sistema 100% a prueba de fallos no es nada sencillo a nada que tenga un poco de complejidad.

Calcula ahora el precio de tu seguro de coche

¡Infórmate!

Página Web de Bugcrowd, en la que figura FCA como cliente (customer)

Por eso se suele delegar en personal externo a la empresa para que se compruebe la solidez del sistema y se pruebe, y si se encuentran problemas, que se solucionen. Cuando esto se encarga a consultoras o auditoras, lo más probable es que el cliente pague por horas, y no por resultados. Pero existe una solución más rentable.

El año pasado, Tesla ofrecía recompensas de hasta 1.000 dólares a aquellos que encontrasen fallos en sus sistemas, hasta que unos hackers consiguieron tener acceso a algunas funciones del Model S a través de un puerto de red local (Ethernet) dentro del propio coche. No se podía asaltar el coche desde fuera, había que estar físicamente dentro, pero encontraron vulnerabilidades. El fabricante tapó dichos agujeros.

Tesla acabó ofreciendo hasta 10.000 dólares para quien encontrase fallos

Tenemos otro precedente, el de dos hackers que lograron intervenir remotamente un 2014 Jeep Cherokee, y mientras iba un periodista de Wired a bordo, le hicieron todo tipo de jugarretas sin estar a bordo. Ese descubrimiento motivó una llamada a revisión de millones de unidades para tapar el agujero de seguridad, ya que no se podía hacer todo remotamente. Llegar hasta ahí costó a los hackers muchas horas de trabajo, que una empresa externa habría cobrado a precio de oro.

A día de hoy, tanto Tesla como Fiat Chrysler Automobiles son clientes de Bugcrowd, una empresa especializada en encontrar fallos de seguridad mediante el hacking ético. En otras palabras, el cliente no tomará represalias si hay un acceso a sus sistemas, y pagará por el descubrimiento, pero no tiene que pagar el esfuerzo que lleva llegar hasta ahí. Hasta 27.000 hackers pueden participar en el programa de recompensas.

Por supuesto, quienes encargan las auditorías no dan pistas a los hackers, ni les dicen que se tienen que colar por tal o cual sitio, deben buscarse la vida, como haría un cracker. Tendrán que hacer muchas pruebas, darse contra muros digitales, realizar ingeniería inversa y hacer del método de prueba y error su religión. Así se consiguió burlar la protección del Mitsubishi Outlander PHEV.

Ahora mismo el Tesla Model S es uno de los coches más a prueba de hackers de los que hay en el mercado, ya que cuando se descubre un agujero de seguridad, el fabricante puede actualizar miles de coches en muy poco tiempo con actualizaciones a través de Internet. Y parte de ese blindaje se debe a los hackers que consiguieron encontrar cualquier subterfugio para entrar.

La teoría de la seguridad informática dice que ningún sistema es infalible ni inexpugnable, salvo que esté completamente desenchufado y el acceso físico sea imposible. El acceso se podrá complicar todo lo que se quiera, como en las murallas de los castillos medievales, pero toda fortaleza tiene siempre un punto débil.

FCA ofrecerá entre 150 y 1.500 dólares de recompensa

Progresivamente más fabricantes se irán apuntando a esta tendencia, y pagarán a aquellos que contribuyan a hacer más rocosos y resistentes sus sistemas, páginas Web, coches, etc. Lo malo de esto es que se entrará en el mismo círculo vicioso de actualizaciones que ya sufren los ordenadores, las consolas o los teléfonos móviles.

Al final, el cliente puede acabar pensando -no sin cierta parte de razón- que el producto que ha adquirido es una porquería, repleta de fallos, incompleta, y que necesita ser continuamente parcheada. Por otro lado, no vamos a poder citar muchos ejemplos de sistema informático que hayan salido en versión "1.0" y no hayan necesitado ningún tipo de mejora ni corrección. Pues esto es lo mismo.

Compártela en:

Pixel