Consejos HC

Kia quiere que le cuentes las vulnerabilidades que encuentres en tu vehículo -y el riesgo que eso puede suponer-

La ciberseguridad es un elemento clave en cualquier dispositivo y, por supuesto, también en los vehículos. Cuidar, precisamente, de ese adecuado nivel de protección puede ser responsabilidad desde los principales de una marca, pero también de cada usuario de un modelo. ¿Cómo?

Imagen de investigadores alrededor de un Kia
Imagen generada por la IA de Bing

Los programas de recompensas o bug-bounty son habituales en todos los sectores donde la tecnología es importante. Esto es así porque, precisamente, donde hay tecnología y, además, hay conectividad es habitual que se produzcan fallos, errores o vulnerabilidades. Y aunque detrás del lanzamiento de cualquier producto tecnológico hay un ejército de expertos que deben tener en consideración todos los aspectos del vehículo e, incluso, que no se produzcan fallos durante el uso, lo cierto es que al final será el uso continuado y por parte de cientos de miles de usuarios la auténtica prueba de fuego para corregir todo tipo de fallos y problemas.

Ya hemos visto muchas marcas poner en marcha los conocidos como programas de recompensas, siendo Tesla una de las más activas en este campo y ofreciendo, además, las recompensas más jugosas que pueden incluir varias decenas de miles de euros en premios e, incluso, varios vehículos de la marca estadounidense.

Ahora, nos ha llamado la atención la propuesta que hace Kia, que ofrece una página web conocida como ‘divulgación de novedades’ y que está ahí, precisamente para que sean los clientes los que sepan cuáles son los pasos a dar cuando encuentran algún tipo mal funcionamiento en el modelo.

Esta web comienza con un agradecimiento, diciendo que se valoran los esfuerzos de los investigadores de seguridad, al tiempo que también que son receptivos antes “cualquier información sobre vulnerabilidades que permita a Kia Europa mejorar la seguridad de nuestros productos y/o servicios -como nuestros servicios digitales, entorno de TI o de los propios vehículos”.

Tras decir eso, aseguran que cuando reciban una información de este tipo, la investigarán y que siempre van a responder a todas aquellos informes de vulnerabilidades legítimos “enviados de acuerdo a las instrucciones” que mencionan en esta misma web. Resulta curioso que Kia no quiere ‘mezclar’ vulnerabilidad entre modelos disponibles en distintas regiones. Es por ello, que igual que existe esta página para lo clientes europeos, también hay otra para los que sonde países como Estados Unidos.

En cuanto a las mencionadas instrucciones a las que se refiere Kia, lo primero a lo que hace referencia es a que se tiene que enviar un informe de conformidad con la política que propone la marca surcoreana. También piden a los participantes que “no revelen públicamente ninguna vulnerabilidad encontrada hasta que hayamos tenido la oportunidad de analizar la vulnerabilidad notificada y, si es necesario, definir las medidas adecuadas”.

Si el interesado al final decide enviar el informe, estaría aceptando cumplir con los términos que pide Kia y que forma parte de lo que ellos denominan “Política de Informes de Vulnerabilidades”. Entre esos términos destaca el hecho de que para dar con la vulnerabilidad, se tienen que realizar las distintas actividades de prueba, investigación e informes de conformidad con las leyes, reglamentos y otras disposiciones legales aplicables.

Asimismo, piden que no se participe en pruebas o investigaciones que puedan dañar “o poner en riesgo a Kia Europa, sus empleados, sus clientes, pasajeros de vehículos Kia u otras empresas o entidades de terceros, incluidos los concesionarios de la marca y sus empleados”. También hablan de que no se interrumpa, comprometa ni dañe ningún vehículo ni datos.

Otro de los requisitos hace referencia a evitar el acceso o divulgación de datos personales que pertenezcan a Kia Europa, así como a sus empleados, sus clientes, pasajeros de sus vehículos u otros terceros, individuos o entidades que puedan afectar a su privacidad.

Además, piden que no se comprometan ni divulguen datos confidenciales o de propiedad exclusiva que pertenecen a Kia Europa, sus empleados, sus clientes, pasajeros de sus vehículos u otras personas o entidades de terceros, incluidos los concesionarios autorizados de Kia Europa y sus empleados.

Resulta curioso que se pide no probar la seguridad física de “ninguna de las propiedades o instalaciones de Kia Europa, ni de las propiedades o instalaciones de filiales de Kia Europa o terceros asociados”. También se intenta dejar claro qué tipo de pruebas se pueden o no llevar a cabo; por ejemplo, se pide no realizar ningún tipo de prueba de denegación de servicio ni sobrecargue una función de la red informática. También se puede no hacer nunca tareas de ingeniería social, spam o ataques de phishing -consistentes en suplantación de identidad y que están a la orden del día dentro de los ciberataques- o el spear phishing -básicamente igual, pero dirigido a un objetivo específico y muy concreto-.

Por otra parte, Kia pide que aquellos que sean empleados de la marca en Europa, una empresa afiliada o algún tipo de proveedor de la marca no participen a través de esta vía y que, en su lugar, lo hagan directamente ‘a su gerencia’ para que esta, a su vez, informe directamente a Kia Europa.

Kia espera mucho… pero no te dará nada a cambio

Como es lógico, la marca asiática te va a pedir que justifiques la vulnerabilidad que hayas podido encontrar… y de la forma más detallada posible. Así, en el informe que tiene que enviar el interesado, debe figurar una descripción de la mencionada vulnerabilidad, incluyendo datos como el momento en el que fue descubierta, los requisitos previos y condiciones generales que deben cumplirse para poder explotar la vulnerabilidad, qué tipo de instalación, configuración y modificación del producto o servicios de Kia se ha llevado a cabo… y, si es posible, también incluir lo que llaman un ‘código de prueba de concepto’ que facilite a la marca el llevar a cabo su propio análisis y clasificarlo.

Imagen de investigadores alrededor de un Kia
Imagen generada por la IA de Bing


A partir de ahí, Kia pide al autor o autores del descubrimiento que lleguen a un acuerdo sobre cuándo se podrá facilitar información pública del problema que se ha encontrado. En este tipo de situaciones, lo normal es que el fabricante pida un margen de tiempo suficiente como para poder solucionar la vulnerabilidad detectada… y, así, contar a los usuarios el problema y el remedio que se ha aplicado.

Y si a pesar de que el hallazgo de uno de estos fallos puede haber supuesto un gran esfuerzo de investigación o que gracias a él se pueden solucionar problemas de ciberseguridad en uno o varios modelos… no esperes nada a cambio: Kia dice que “no ofrecemos compensación monetaria -‘recompensas’- si remuneración no monetaria a cambio de los informes enviados. Este programa solo tiene como objetivo facilitar la notificación y resolución responsables de vulnerabilidades de ciberseguridad”. Si, a pesar de todo, quieres contactar con ellos, puedes hacerlo en el mail vulnerability@kia-europe.com

El ‘doble filo’ de los bug bounty… según uno de los grandes expertos

Una vez visto lo visto, ¿resulta una buena idea ‘animar’ a que la gente se ponga a buscar fallos o puntos débiles relacionados con la ciberseguridad de sus vehículos? En realidad, aunque suene como algo positivo, puede convertirse en un arma de doble filo. Así nos lo cuenta Jaime Andrés Restrepo, uno de los investigadores de ciberseguridad más reconocidos del mundo y fundador de DragonJAR, una comunidad hacker con gran popularidad. Dentro de sus actividades, Restrepo se dedica a buscar fallos de ciberseguridad en los sistemas informáticos de las grandes compañías, ya que estas suelen pagar por ello.

¿ES EL BUG BOUNTY LA FORMA DE CORREGIR LOS PROBLEMAS DE CIBERSEGURIDAD EN LOS COCHES? ¿QUÉ DEBERÍA AÑADIRSE A ELLOS?

Para mí, el Bug Bounty no es la solución ideal, sino un paso más en la madurez de seguridad de una organización. Primero, deberían pasar una auditoría tradicional de seguridad, que estén seguros de que ya pasaron cierto nivel de madurez y entonces aventurarse a tener un programa de Bug Bounty. Porque, básicamente, le estás abriendo la puerta del reino a una gran cantidad de personas y puede haber algunas que no estén muy de acuerdo en reportar una vulnerabilidad sin lograr un beneficio económico, como con Ford, que no te paga por el fallo, y eso haga que lo explote de otra forma para obtener rentabilidad.

¿PODRÍA EL BUG BOUNTY VOLVERSE EN CONTRA DE LAS MARCAS? ¿QUÉ ALGÚN CRACKER SE ANIME A ATACAR COCHES PORQUE VEA QUE LAS MARCAS LO ESTÁN FOMENTANDO O CUALQUIER OTRA CONSECUENCIA NEGATIVA?

Una consecuencia negativa del Bug Bounty para los fabricantes podría ser que sus coches salgan sin estar preparados -en ciberseguridad-, porque se van a encontrar muchos fallos y eso les causaría un problema económico, porque cada problema les costaría dinero.

Pero no creo que el hecho de que estén en un programa de Bug Bounty motive que se ataque más a una organización u otra. Realmente, suele ser positivo, porque la gente quiere reportar de forma responsable y las marcas quieren recibir los reportes.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.