Dejé mi empleo para ser 'hacker' cazarrecompensas a jornada completa y me va bien: con 28 años ya me he comprado un piso en Barcelona

- Actualizado:
Carlos 'Hipotermia' Rivero en un evento de Hackerone en Denver (EEUU).
Carlos 'Hipotermia' Rivero en un evento de Hackerone en Denver (EEUU).

Hackerone

  • Carlos Rivero tiene 28 años y es conocido como Hipotermia en las plataformas de recompensas para hackers: dejó su empleo para dedicarse a las bug bounties.
  • Estas bug bounties son programas de recompensa con los que las empresas pagan a los especialistas en ciberseguridad en función de las vulnerabilidades que detecten.
  • "Dejé mi anterior trabajo solo para hacer esto. Y me va bien: pude pagar la entrada de la hipoteca de mi piso y tengo expectativas de comprar otro".

Este artículo se basa en una conversación con Carlos 'Hipotermia' Rivero, hacker español muy conocido en el mundo de las bug bounties, programas que recompensan a expertos en ciberseguridad por reportar vulnerabilidades. El texto ha sido editado por razones de longitud y claridad.

Mi nombre es Carlos Rivero, aunque en las plataformas de bug bounty en las que suelo trabajar me conocen más por mi nick, Hipotermia. Tengo 28 años y soy un hacker que caza recompensas: participo en bug bounties en las que empresas 'recompensan' a especialistas que reporten vulnerabilidades en sus servicios.

Entré hace 3 años en HackerOne, una de las principales plataformas que conectan a empresas con hackers como yo. Me registré en marzo de 2020. Por entonces compaginé esta actividad con mi anterior empleo en Deloitte, pero solo unos meses, hasta septiembre de ese mismo año. 

Luego di el salto y me hice autónomo. Desde entonces me dedico completamente, al 100%, a buscar esas vulnerabilidades por cuenta propia. Dejé mi anterior trabajo solo para hacer esto. Y me va bien: pude pagar la entrada de la hipoteca de mi piso en 2021, y tengo expectativas de comprar otro en el futuro.

Una de las razones por las que di el salto es el tema de los sueldos en el sector. Hacen que me extrañe de que aquí todavía haya poca gente dedicándose a bug bounties. Conozco a mucha gente de la industria que sigue trabajando para empresas españolas que siguen pagando bastante poco si lo comparas con lo que se gana en bug bounties o trabajando para compañías de EEUU.

Así es el día a día de los 'hackers' que se dedican a cazar recompensas

Estudié Ingeniería Informática en la Universidad Politècnica de Catalunya (UPC) e hice un máster en Cybersecurity Management. Pensé que el máster me serviría para esto de la ciberseguridad, pero estaba muy centrado en temas de gestión y no me ayudó mucho, la verdad. En la carrera dimos cero de ciberseguridad, además.

Aprendí las bases, que me sirvieron bastante. Pero lo que hago ahora, en mi día a día, lo he aprendido por mi cuenta.

Justo cuando empecé el máster empecé a trabajar con Deloitte. Ya formaba parte del mundillo de la ciberseguridad pero no hacía exactamente lo que hago hoy. Al par de años pedí que me movieran al equipo de pentesting, los especialistas en hacer tests de penetración buscando vulnerabilidades, que es prácticamente a lo que me dedico.

En ese equipo estuve un año, año y medio. Fue entonces cuando empecé a compaginar mi trabajo con las bug bounties, estos programas de recompensas para hackers. Vi entonces que con el mundo del bug bounty ganaba mucho más dinero, no tenía que rendir cuentas a nadie ni tenía que hacer mil informes cada día, y dejé mi empleo.

Además de mediar en el pago de recompensas, las plataformas clasifican a los hackers por puntos

Yo por lo general suelo trabajar con plataformas, aunque alguna vez sí que he reportado vulnerabilidades directamente a alguna empresa. Sobre todo trabajo con HackerOne, que es de las más grandes, donde hay más empresas. También hay plataformas europeas como YesWeHack o Bugcrowd, aunque casi todos los bugs que reporto van a HackerOne.

En HackerOne organizan muchos eventos. El año pasado celebraron uno aquí en Barcelona, e invitaron a gente de todo el mundo. Son eventos cerrados en los que el objetivo es mucho más específico. Por ejemplo, a una empresa concreta.

Compañías como Google o Meta cuentan con sus propios programas de recompensas. Meta, por ejemplo, sí paga a través de HackerOne, porque tienen una colaboración. Tecnológicas como estas o como Yahoo suelen pagar bien las vulnerabilidades que reciben. Otras compañías tienen programas privados, y otras tienen programas que pagan muy poquito, lo que a veces no se entiende.

Hay multinacionales como Disney, por ejemplo, que no paga directamente. Si reportas una vulnerabilidad, lo que te ofrecen son puntos de HackerOne. Yo no recomiendo participar en ese tipo de programas porque al final estás trabajando gratis. Nunca lo he hecho. Hay gente que sí lo hace porque así obtiene puntos en la plataforma.

Cómo dirigirte a una empresa o la importancia de la salud mental: 4 claves para 'hackers' que quieran ganar dinero reportando vulnerabilidades

Al final, con ese tipo de programas las empresas nunca van a encontrar vulnerabilidades muy críticas. En los eventos cerrados que organiza HackerOne, por ejemplo, sí se comparten qué vulnerabilidades se han encontrado y te encuentras con cosas súper locas. Reportes que no tendría nadie en un programa que no paga recompensas por los reportes.

Esos puntos sirven para subir escalones en un ranking. Pero ni el ranking ni los puntos reflejan el dinero que puedes ganar cada mes. Hay meses en los que he tenido muchos puntos y he sacado relativamente poco dinero, y otros en los que he sacado mucho dinero y al final he terminado casi sin ganar puntos. 

Por eso no me fijo demasiado en las clasificaciones. No sé cuál ha sido mi mejor posición. De todos modos, HackerOne te invita a sus eventos cerrados aunque no estés en el número uno de la tabla, y eso es lo que a mí, por lo menos, me interesa. La gente que está arriba en las tablas se dedican al 100% a reportar bugs con automatizaciones.

De hecho, uno de los hackers más conocidos de HackerOne ha logrado sacar más de 2 millones de dólares y su setup s una barbaridad con varias pantallas y varias máquinas. Por mi parte, mi récord está en haber reportado una vulnerabilidad por la que me recompensaron con 20.000 dólares de golpe.

Mi jornada empieza en la cama, mi trabajo me recuerda al de un 'streamer'

Carlos 'Hipotermia' Rivero enseña su 'setup', que recuerda al de un 'streamer'.
Carlos 'Hipotermia' Rivero enseña su 'setup', que recuerda al de un 'streamer'.

Twitter/Hipotermia

Yo trabajo menos con automatizaciones. Tengo, por ejemplo, un sistema que me envía novedades a través de Telegram y en cuanto me despierto reviso desde la cama páginas que se han actualizado, normalmente ahí ya se encuentran vulnerabilidades. Al rato me pongo en el ordenador y empiezo a toquetear cosillas.

Desde que adopté a un perro me lo monto un poco mejor, porque me obliga a sacarlo a pasear por la mañana y por la tarde. Pero los horarios no los tengo tan definidos. Hay veces que trabajo por las noches y otros días trabajo por las mañanas. Cuando volví del evento de HackerOne en Barcelona decidí tomarme unos días con bastante más calma.

Mi trabajo me recuerda al de un streamer o al de un creador de contenidos, aunque sí creo que lo nuestro es más sencillo porque no tenemos la obligación de estar creando día a día: puedes trabajar cuando quieras. Si quieres sacar más dinero, tendrás que trabajar más.

Hay meses en los que sí tengo la sensación de estar sacando poco y que debería trabajar más. Pero me paro a pensar: estoy ganando muchísimo más dinero que cualquier amigo mío. Tampoco me hace falta. Me intento poner un mínimo, sacar X dinero al mes. Pero al final no necesito tanto.

Me han llegado ofertas de trabajo, pero a corto plazo no me interesa volver a trabajar por cuenta ajena

Qué le puedo decir a quien se quiera acercar al mundo de las bug bounties. Que está todo en internet: se puede aprender de cualquier sitio. Al final esto es dedicarle horas, mucho tiempo, sobre todo al principio. Conozco amigos que se metieron, vieron que al cabo de unos días no sacaron nada, y se rindieron. Hay que dedicarle tiempo hasta que las cosas empiecen a salir.

Tampoco pretendo que haya una desbandada de trabajadores por cuenta ajena, pero siempre digo lo mismo. Se gana mucho más dinero aquí. Al menos para mí es más interesante, porque puedes trabajar con empresas top del sector. Trabajando en una empresa no le vas a hacer los pentest a Facebook.

España está plagada de congresos de ciberseguridad. Por eso me extraña tanto que habiendo tanta cultura hacking, haya tan poco bug bounty comparado con otros países. También lo entiendo porque muchas empresas españolas, aun teniendo sus propios programas de recompensas, tampoco pueden pagar vulnerabilidades al precio que lo pagaría un gigante como Yahoo.

No tienen ni 25 años y ya son millonarios: así han conseguido estos 2 hackers hacer su fortuna

También es cierto que no todas las empresas son iguales. A algunas les mandas un reporte y muchas veces te ignoran o te pagan sin darte mayor feedback. Otras veces sí recibo respuestas más elaboradas y llamadas para preguntarme cómo he podido encontrar una vulnerabilidad. 

Me han llegado incluso ofertas de trabajo, aunque no me interesa volver a trabajar por cuenta ajena a corto plazo.

Creo que poco a poco la escena irá cambiando, y habrá más empresas en España que se animen a probar con sus propios programas de recompensas. La comunidad española de bug bounty es pequeña, pero con el evento que organizó HackerOne en Barcelona vimos a un chico que no participaba mucho en el sector y quedó primero en vulnerabilidades.

Hablé con él y me dijo que se metería en este mundo más en serio.

Por supuesto, en las bug bounties el factor suerte es clave. Siempre se puede pasar por alto alguna vulnerabilidad. Un día puedes estar más cansado y no estar prestándole la suficiente atención a una web. Tampoco sabes si te has podido dejar algo porque las vulnerabilidades de las demás no se comparten. Por eso los eventos cerrados son tan interesantes.

De esos eventos sí que se sale con la sensación de que algo no se miró lo suficientemente bien.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.