Cómo dirigirte a una empresa o la importancia de la salud mental: 4 claves para 'hackers' que quieran ganar dinero reportando vulnerabilidades

En la década de los 90, el imaginario asociaba hacker a una persona frente a una enorme pantalla en una habitación con la luz apagada. Por supuesto, con una sudadera y capucha. Hoy el cliché se ha dejado atrás, y el hacking se ha convertido en una profesión que, en ocasiones, en estética, puede recordar incluso a la de los creadores de contenido.

Es el caso de los hackers que participan en bug bounties, es decir, que hacen tests de penetración o pentesting a empresas y ganan dinero si descubren vulnerabilidades en sus sistemas de defensa. Gracias a estas bug bounties, las compañías mejoran su ciberseguridad, y estos especialistas reciben ingresos gracias a su trabajo como freelances.

El mundo de las bug bounties no ha hecho más que crecer en los últimos años. La gran mayoría de sus participantes son apasionados de la ciberseguridad que participan en programas abiertos o privados para obtener ingresos extra si hallan vulnerabilidades. Otros profesionales del hacking lo han convertido en un estilo de vida, dejando atrás incluso su trabajo asalariado.

Esos hackers que se dedican a cazar recompensas no lo tienen fácil. Muchas empresas todavía no están ni concienciadas ni educadas en el valor que un hacker dispuesto a hacerles pentesting puede aportarles. Lo explica Omar Benbouazza, un hacker que lleva una década involucrado en el mundo de los programas de divulgación responsable o responsible disclosure programs.

Estos programas, en los que se enmarcan las bug bounties, son un punto de encuentro entre la comunidad hacker y el mundo de la empresa. Los primeros ganan dinero y prestigio. Las segundas, información y seguridad. Pero muchas marcas todavía ven con pavor la idea de que un hacker por cuenta propia escudriñe sus sistemas. Aunque lo haga con la mejor de sus intenciones.

Así es el día a día de los 'hackers' que se dedican a cazar recompensas

Benbouazza lleva 10 años trabajando con multinacionales diseñando sus resposible disclosure programs, iniciativas que tienen grandes tecnológicas como Google, Meta o Twitter. Pero también es hacker y uno de los organizadores de la RootedCON —uno de los mayores eventos de ciberseguridad de España—, con lo que no ha perdido el contacto con la comunidad.

Se involucra y dice estar "orgullosísimo" de lo lejos que está llegando la comunidad de hackers españoles en el mundo de las bug bounties. También participa en canales de Telegram donde a menudo ve a hackers lamentar la actitud de determinadas empresas. Muchas de ellas, por ejemplo, externalizan sus programas de recompensa y ni verifican si se han corregido los reportes.

Pero a veces los errores se dan por parte del hacker. Por eso, Business Insider España, tras una conversación con Omar Benbouazza, ha recopilado 4 claves para hackers que estén ya informando de vulnerabilidades o quieran empezar a hacerlo. Esto es todo lo que tienes que tener en cuenta al lanzarte al mundo de las bug bounties.

Guíate por empresas que tengan programas de recompensas o plataformas intermediarias solventes

El fenómeno de las bug bounties crece pero lo hace únicamente a través de programas serios de empresas o en plataformas de intermediarias solventes. Aunque es de perogrullo, es importante señalarlo: si una empresa no te ha invitado a un programa de pentesting, y no ha anunciado ninguno, ahórrate cualquier esfuerzo.

Omar Benbouazza recuerda a Business Insider España que el pentesting se lleva haciendo bastantes años, y en sus inicios, en ocasiones se superaban las líneas de lo que hoy permite la legislación. Ahora, de manera reglada, el pentesting y el mundo de las bug bounties arroja muchas más garantías tanto a hackers como empresas.

A la hora de buscar 'clientes', es recomendable acudir a plataformas solventes como Hackerone o Bugcrowd. En España, durante la pandemia, nacieron varias firmas cuyo propósito era hacer de intermediarias entre la empresa y los expertos en ciberseguridad, pero muchas no lograron consolidarse ante la falta de marketing y de comunidad.

No tienen ni 25 años y ya son millonarios: así han conseguido estos 2 hackers hacer su fortuna

A la hora de informar de una vulnerabilidad: comunícate de manera elegante y profesional

No es como acudir a una entrevista de trabajo, pero cuando haces un trabajo que deseas facturar es importante causar buena impresión si quieres que el 'cliente' no solo quede satisfecho, sino que vuelva a repetir. Es importante, en ese sentido, informar detalladamente de la vulnerabilidad detectada.

Por eso no es recomendable en la primera comunicación lanzar advertencias o amenazas, ya que al entendimiento se puede llegar en buenos términos y de manera amistosa. 

Eso no garantiza nada, está claro: la propia RootedCON fue testigo de cómo varios expertos de una firma de ciberseguridad gallega, Tarlogic, se vieron obligados a publicar vulnerabilidades en contadores de la luz ante la inacción de las compañías eléctricas.

Los hackers tienen, por la naturaleza de su trabajo y conocimientos, mil maneras de presionar a que una empresa haga las cosas bien, sin necesidad de que ninguna de las partes tenga por qué saltarse la ley. Aprovéchalas todas, y si la empresa que tiene una vulnerabilidad te rechaza el informe intenta preguntar por qué. Tal vez haya un malentendido fácil de reparar.

Fórmate, evita reportes duplicados y limita tu trabajo con automatismos

En ese sentido, Benbouazza es claro: para ser un buen cazador de bugs es importante ser un buen pentester. "Se requieren estudios". Por otro lado, trata de ponerte en la cabeza del equipo que se encarga de recepcionar todas las vulnerabilidades que se reportan. En grandes firmas pueden ser cientos a la semana. Y muchas son, en realidad, agujeros que ya están avisados.

Asegúrate, antes de reportar la vulnerabilidad que vas a enviar, que esta no ha sido ya publicada o reparada por la firma. Evidentemente, el sector privado tiende a limitar mucho la información sobre vulnerabilidades halladas en sus sistemas para prevenir futuros ataques e incluso limitar cómo la noticia impacte en sus accionistas o clientes.

Muchos bugs se reportan de forma duplicada debido a que muchos hackers que participan en bug bounties utilizan sistemas automáticos para tratar de descubrir brechas. El problema de esos sistemas es que "todo el mundo los utiliza", recuerda Benbouazza. "Hay que tratar de encontrar cosas que sean más difíciles". Menos evidentes.

"Hay que dedicarle tiempo. Si tienes suerte, usando esa herramienta encontrarás una vulnerabilidad por la que te podrán pagar unos 250 euros. Pero la gran mayoría aparecerán como reportes duplicados".

Soy un 'hacker' que ayuda a la gente a recuperar millones en criptomonedas perdidas: estos son mis consejos para mantener a salvo tus criptoahorros

Cuida tu salud mental

Benbouazza recuerda que aunque es atractivo ver a gente que vive prácticamente de las recompensas que consiguen en plataformas como Hackerone, la realidad es que en España se pueden contar casos como ese con los dedos de una mano. "Es un mercado global. Conozco a gente en Marruecos o en India que con 250 o 500 euros hacen el mes".

"En España necesitarías 1.500 o 2.000 euros en recompensas que no siempre se pueden conseguir", advierte. Un hacker que trabaja por cuenta ajena y usa su participación en bug bounties como un complemento lo explica a Business Insider España: cuando empiezas, la información de gente que gana recompensas de hasta 50.000 dólares "te bombardea".

"Esa información te bombardea todos los días y te pones a buscar, sin éxito. Un día no encuentras nada, otro tampoco, y entras en un círculo vicioso de frustración. La gente piensa que esto es llegar y empezar a encontrar cosas, y se acaba quemando. Hay que tener cuidado con eso".

Omar Benbouazza está totalmente de acuerdo. "He visto a mucha gente quemada. Dejar tu trabajo para focalizarte en esto y que tus ingresos dependan de lo que encuentres significa que le vas a dedicar muchas más horas que cuando lo compaginabas con un trabajo fijo". "He visto a gente currar más de 20 horas al día y eso no se puede sostener a largo plazo".

"Hay que cuidarse mucho la cabeza con esto". "Es exactamente lo mismo que pasa con influencers, streamers o creadores de contenido. Le dedican tantas horas para seguir creciendo que acaban rompiendo por algún lado. Se tienen que cuidar".