En la medida en que la tecnología continua su extraordinario avance, ha permitido que el sector automovilístico se nutra y evolucione a un nivel tan impresionante que podríamos decir que los autos son casi computadoras sobre ruedas, esto conlleva a que los fabricantes deban recurrir a los hackers éticos que son capaces de encontrar vulnerabilidades y posibles soluciones de seguridad.
Recordemos que los grandes fabricantes están trabajando arduamente en ofrecer vehículos autónomos los cuales dependen muchísimo del software, y por tanto se debe velar por la seguridad cibernética de manera tal, que el propietario se sienta seguro de que su auto en determinado momento no sea controlado por un hacker malicioso.
Llegado este punto, surge la pregunta, ¿están bien pagados estos hackers para lo determinante que puede llegar a ser su trabajo? Según un informe de HackerOne no tanto. Los vehículos actuales poseen muchos elementos como sensores, algunos accesorios, simples actualización inalámbricas que se convierten en posibles puertas de entrada a los hackers que puede permitir corromper el software.
Podemos mencionar un precedente sucedido en 2015 con un Jeep Cherokee que fue controlado de manera remota por unos hackers que demostraron que eran capaces de acelerar, frenar y girar el volante del vehículo. La marca terminó retirando temporalmente 1.4 millones de autos para resolver el problema.
De acuerdo al informe del investigador Sam Curry, que a finales de 2022 evaluó la ciberseguridad de varias marcas de autos y sus sistemas telemáticos descubrió gran cantidad de vulnerabilidades. Entre otros detalles, Curry logró demostrar como autos de marcas como Acura, Honda, Infiniti, Kia o Nissan podían ser hackeados con solo el número de identificación del vehículo Esto incluye acceder a la ubicación y el desbloqueo de ciertos autos, además de encender y apagar los motores o acelerarlos.
Aquí es donde entran los Hackers éticos, logrando ayudar a la industria a controlar este tipo de fallas. La agencia estatal estadounidense NHTSA publicó el pasado año un manual de buenas prácticas que deden seguir los fabricantes de vehículos para evitar los hackeos. Sin embargo, el último análisis de HackerOne, el sector automovilístico es el que peor les paga a los aliados, de los ocho sectores que analiza, ya que apenas recompensó con 483, 809 dólares en todo el 2022 a los hackers éticos con haber encontrado fallos de seguridad, con un sueldo medio de un poco más de 2,000 dólares por proyecto.
Comparándolo con otras empresas que se dedican al ámbito de internet pagaron hasta 13.1 millones dólares el año pasado a los hackers que les ayudan a detectar fallas de seguridad e sus sistemas. En lo que se refiere a las empresas de telecomunicaciones pagaron 4.7 millones de dólares, y las gubernamentales, recompensaron a los Hackers éticos con 703,084 dólares.
El informe arroja un ejemplo de manera directa con el fabricante Stellantis, que utiliza Bugcrowd (empresa de gestión de ciberseguridad de San Francisco, EEUU) paga entre 150 y 7,500 dólares por vulnerabilidad descubierta, con una media de 737,50 dólares en los últimos tres meses. Sin embargo, según SecurityWeek, los hackers que participaron en una conferencia que se celebró en febrero en Miami sobre vulnerabilidades en el sector industrial ganaron entre 5,000 y 40,000 dólares por brecha detectada.
A finales del pasado año, Eaton Zveare, un hacker aficionado de Sarasota (Florida, EEUU) demostró que un pirata informático puede llegar no solo acceder el software del vehículo, sino, penetrar en lo más profundo de las propias marcas, entrando en su sistema y accediendo a información confidencial extremadamente valiosa.
Zveare logro acceder a la página web de gestión global de proveedores de Toyota, obteniendo acceso de lectura y escritura a más de 14,000 cuentas de correo electrónico corporativas, que contenían información como documentos confidenciales asociados, proyectos, etc. el hacker dio aviso a Toyota, quien rápidamente resolvió el problema de seguridad.
La firma japonesa agradeció el trabajo de Zveare, pero no hubo compensación económica. Si se toma en cuenta los beneficios que Toyota obtiene cada año creo que deberían destinar una suma de dinero para en caso de que sucedan situaciones como esa, poder recompensar a los investigadores.
A medida que la tecnología de los vehículos vaya en aumento, el problema seguirá creciendo y los fabricantes de autos tendrán que ofrecer mejores recompensas si desean contar con la ayuda de investigadores de seguridad que buscan vulnerabilidad en los sistemas, señaló el experto de KnowBe4, Roger Grimes a Automotive News.
Si esto no cambia los hackers éticos podrían cambiar de opinión y dirigir sus esfuerzos hacia otras industrias que realmente valoren más sus conocimientos y su trabajo, o en otro caso podrían vender sus habilidades a actores nefastos que tengan como objetivo el sector del automóvil, comentó Grimes.