Ofrecer recompensas económicas a aquellos que detecten fallos de seguridad en un sistema es una práctica bastante común en el mundo de la tecnología. Conocido como «Bug Bounty», podemos encontrar estos programas en empresas tan relevantes como Google, Facebook o Twitter. Por ejemplo, en el caso de Twitter, a lo largo de dos años de puesto en marcha, su programa ha pagado $ 322.420 a investigadores por los «bugs» que han encontrado. Durante el 2015, un solo investigador llegó a ganar él solo más de $ 54.000 por reportar vulnerabilidades.
Pero no solo los gigantes de la tecnología en Internet recurren a estos programas. También lo hacen empresas más modestas como Dropbox, Reddit, Pinterest o Snapchat y otras muchas más, como se puede comprobar en The Bug Bounty List, una lista de compañías que ofrecen estos programas y donde se puede encontrar información acerca de cada uno de ellos. En esa misma lista está la empresa de la que vamos a hablar a continuación: Fiat Chrysler.
Y es que el conocido fabricante de automóviles ha recurrido Bugcrowd, la empresa encargada de la lista mencionada antes y que se especializa en la gestión de este tipo de programas, para crear y administrar su propia «caza» de vulnerabilidades. En ella, cualquier hacker que consiga encontrar un fallo de seguridad podrá ganar hasta $ 1.500 por cada uno que reporte.
https://www.youtube.com/watch?v=LEyYDwXJDMc
Según cuenta el fundador y CEO de Bugcrowd, Casey Ellis, cuentan con alrededor de 32.000 investigadores que participan de manera regular en programas destinados a revisar la seguridad de diferentes compañías. Dentro del campo automotriz, Bugcrowd trabaja con Tesla Motors y otras empresas que no puede desvelar por acuerdos de confidencialidad.
Fiat Chrysler ha lanzado este programa justo un año después de la aparición de un artículo en Wired en el que dos ingenieros de software contaban cómo tomar el control de un Jeep Cherokee. Aunque no se sabe de ningún Cherokee que haya sido hackeado, el artículo tuvo una repercusión global que llevó a Fiat Chrysler a corregir esta vulnerabilidad en 1,4 millones de Cherokees existentes en ese momento.
A pesar de la coincidencia de la fecha, Titus Melnyk, gerente de arquitectura de seguridad en Fiat Chrysler, dijo durante la presentación del programa que no hay ninguna relación entre aquel artículo y esta propuesta. No se trata de un intento de generar publicidad positiva, sino que su objetivo es permitir a los hackers de sombrero blanco encontrar flancos abiertos en su seguridad antes de que lo hagan los de sombrero negro.
A medida que los autos se van haciendo más complejos y, sobre todo, más dependientes de la tecnología más avanzada, más necesaria se hace la existencia de programas de este tipo que ya han probado de sobrada manera su eficacia. Que una empresa como Fiat Chrysler se lance de esta forma a la búsqueda de fallos de seguridad debe ser visto de manera positiva, pues es una manera de abrazar un sistema que se ha comprobado que funciona. Y sobre todo, no debe verse negativamente: todos los sistemas informáticos están sujetos a tener errores y no admitirlo debe observarse no como una muestra de fuerza y confianza en un producto, sino con suspicacia y recelo.
Imagen: Carlos Alberto Teixeira
