Así es el día a día de los 'hackers' que se dedican a cazar recompensas

A veces no hay mejor defensa que un buen ataque y, en ciberseguridad, esta máxima se da por hecha desde que el pentesting —tests de penetración— se convirtió en una de las técnicas más extendidas para fortalecer el blindaje de los sistemas de una empresa o una Administración.

Como su nombre sugiere, los pentester son profesionales del hacking que lanzan ataques informáticos a sus propios clientes o empresas con el objetivo de encontrar así vulnerabilidades sin resolver. Mejor que las rendijas en una pared las descubra alguien de la casa.

Esta práctica es tan amplia que desde hace años forma parte del paquete de servicios que firmas de ciberseguridad ofrecen a sus clientes. Compañías tecnológicas, de hecho, distribuyen a sus hackers en equipos, el Red Team —rojo— y el Blue Team —azul—, siendo el primero el encargado de lanzar ataques controlados y el segundo el que trata de contenerlos.

Se trata de un método que genera mucha información útil. Tanta, que las instituciones europeas llevan meses trabajando en nuevas legislaciones y programas para animar a sectores como el financiero a llevar más lejos estos experimentos.

Pero no todo el mundo puede permitirse un grupo de hackers a sueldo que desafíe a propósito su ciberseguridad. Por suerte, siempre ha existido la figura del especialista que, por su cuenta y riesgo, ha jugueteado con los sistemas de terceros y, al detectar vulnerabilidades en ellos, ha optado por tomar la decisión más ética posible: informar.

España tiene una selección de 'hackers' sub-25 bicampeona de Europa: así se eligen y así compiten contra otros países

Esos hackers éticos, sin embargo, descubrieron pronto que, con su trabajo, habían evitado ciberataques con pérdidas multimillonarias. Y por respuesta no habían recibido ni las gracias. Así, los hacker éticos participan en bug bounties, transformándose en cazadores de vulnerabilidades... y de recompensas.

"Un cazador de bugs es una persona que, antes de manera altruista, reportaba vulnerabilidades con la intención de mejorar los sistemas y la protección de usuarios y consumidores". "Esas personas se han vuelto un poco más mayores y han visto que muchas veces no eran retribuidos o ni siquiera agradecidos, y a veces eran incluso perseguidos", resume Omar Benbouazza.

Omar Benbouazza es uno de estos hackers. Es uno de los organizadores de la RootedCON, uno de los mayores eventos de ciberseguridad de España y lleva toda una década trabajando con multinacionales e incentivando programas de publicación responsable de vulnerabilidades, los famosos responsible disclosure programs.

Esos responsible disclosure programs hoy, en su mayoría, han evolucionado en plataformas de retribución por vulnerabilidades detectadas, en las que hackers freelances pueden llegar a ganar miles o millones de euros y llevar un estilo de vida que se asemeja mucho al de un creador de contenidos en Twitch o YouTube.

Esas plataformas o programas son las llamadas bug bounties, literalmente partidas de cazas de vulnerabilidades en las que se recompensan los hallazgos de agujeros de seguridad.

Esas bug bounties también son una oportunidad para aquellos que prefieren mantener un sueldo fijo con un trabajo estable, pero que son conscientes de que los salarios del sector en España están lejos de lo que se ofrece en otros territorios y de esta manera cuentan con ingresos extra.

La comunidad española de hackers cazadores de bugs no hace más que crecer. El papel que desempeña a nivel global ha aumentado exponencialmente en los últimos años, remarca Benbouazza, en un sector en el que los hackers indios y estadounidenses siguen llevando la voz cantante.

Es un mundo que requiere paciencia, talento y curiosidad, y no está exento de riesgos y desafíos. Así es como estos especialistas en seguridad informática cazan bugs y recompensas desde España.

Las 'bug bounties' se vuelven 'mainstream': los 'hackers', de perseguidos a recompensados

Los hackers que participan en estas bug bounties pueden llegar a recibir sustanciosas recompensas de varios miles de euros. El récord de Google, por ejemplo, se registró en noviembre del año pasado: pagó 70.000 dólares a un hacker que demostró la posibilidad de desbloquear un móvil Pixel sin necesidad de conocer la contraseña, código o patrón de bloqueo del usuario.

Las grandes tecnológicas suelen tener sus propios programas de recompensas. Twitter ha ofrecido recompensas de hasta 20.000 dólares, Meta —propietaria de Facebook o Instagram— de hasta 45.000, y Apple o Samsung elevan la cifra. Aunque no ha sucedido todavía, sus recompensas pueden ser de hasta un millón o dos millones de dólares, respectivamente.

Se trata de suculentos reclamos. Sin embargo, la realidad en el día a día de un hacker cazador de recompensas puede ser más tediosa. No tienen la seguridad de encontrar nada y tal vez la vulnerabilidad que detecten pueda ser recompensada con tan solo 500 euros.

El salto que se ha dado con respecto a hace unos años, cuando lo habitual no era siquiera pagar, es abismal. Lo detalla el propio Benbouazza en conversación con este medio. Esa evolución la asocia "a la profesionalización del sector". "Antes queríamos aprender y todo esto era parte de nuestro aprendizaje", apunta.

"El tema de las leyes era ambiguo y laxo, en el sentido de que quizá se podía pasar un poco la línea que hoy está marcada. Muchas veces se hacían estos tests, además de por aprendizaje, por ego: muchas empresas empezaron a publicar su hall de la fama con los nombres de los hackers que habían reportado vulnerabilidades. Y ese reclamo al ego funcionó muchos años".

El propio Benbouazza reportó vulnerabilidades de una importante red social en su día "sin intención clara de monetizarlo". "Desconocíamos que eso se podía monetizar", ríe. "A veces se reportaban vulnerabilidades para que te conocieran, para ponerlo en el currículum. Pero la gente se empezó a cansar".

"Mucha gente veía que reportaban muchas vulnerabilidades y no recibía ni agradecimientos. En ocasiones, ni respuesta. Algunas empresas incluso interponían querellas contra las personas que las reportaban. A veces con razón, porque había amenazas de por medio. Pero eso no es divulgación de vulnerabilidades responsable", recuerda.

Un ejemplo muy conocido de ello es el de Renfe. El hacker Alberto García Illera demostró en la DefCon de 2012 —un conocido congreso de ciberseguridad que se celebra en Las Vegas (EEUU)— que las máquinas de venta de billetes de Renfe se podían piratear. Renfe respondió demandando al hacker, que acabó siendo absuelto.

Por supuesto, Illera no trató de amenazar a Renfe. Al contrario, aquella historia reveló uno de los problemas que tiene la comunidad de hackers en bug bounties y en España, en general: la desconfianza de las compañías más tradicionales.

Entre tanto, el de las bug bounties es un fenómeno ya mainstream en el mundo de la ciberseguridad, cree Benbouazza, pero todavía queda camino por recorrer para que la empresa —en especial, la empresa española— comprenda el valor que este tipo de profesionales del hacking pueden aportar a sus negocios. Todavía hoy muchas firmas los ven como una amenaza.

Parte de ese salto al mainstream implica que, además de los programas de las propias compañías, hayan proliferado las plataformas intermediarias entre hackers y empresas. Algunas de las más conocidas son Hackerone o Bugcrowd. Este tipo de plataformas tienen sus propias clasificaciones y los expertos, además de ser recompensados monetariamente, obtienen otro tipo de ventajas.

Por ejemplo, una ventana a acceder a programas de bug bounty más exclusivos, "con menos hackers" y, en consecuencia, con menos competencia. Lo explica así Carlos Rivero, un hacker de 28 años que reside en Barcelona y ha conseguido dedicarse únicamente a las bug bounties para ganarse la vida. Se ha podido comprar ya su primer piso. Mal no le va.

En España también aparecieron plataformas como las descritas. "Con el boom de hace 3 o 4 años, salieron intermediarias como setas, pero es un mercado un poco restrictivo. Los hackers son los que son, no los puedes sacar de debajo de las piedras, y van a las plataformas más solventes". Muchas de esas plataformas españolas ya han desaparecido.

"No basta con tener uno o dos clientes a los que facturarle en función de lo que encuentren tus hackers: se necesita marketing, se necesitan hackers que se involucren de verdad en tu plataforma. Si no, se irán a las que les den más rédito".

Un día en la vida de un 'hacker' que se dedica a cazar recompensas a tiempo completo: Carlos 'Hipotermia' Rivero, de 28 años

Carlos Rivero, de 28 años, es uno de los hackers más conocidos en la comunidad española que participa en las bug bounties. Pero quizá lo sea más a través de su pseudónimo, Hipotermia. "Me dedico al 100% al bug bounty, dejé mi trabajo para eso", avanza.

De formación, Rivero es ingeniero informático. Se tituló en la Universitat Politècnica de Catalunya, la UPC. También tiene un máster en Cybersecurity Management. Pero los estudios reglados no le han convertido en el profesional que hoy es: "No me ayudó mucho el máster, estaba muy centrado en gestión y, en la carrera, la ciberseguridad que se imparte es prácticamente cero".

Tras salir de la universidad, Hipotermia empezó a trabajar en Deloitte. "Estaba ya en el mundillo, pero no haciendo exactamente lo que hago ahora". Al cabo de unos años pidió que le asignaran en el equipo de pentesting de la firma: "Empecé a hacerlo a la vez que a participar en bug bounties y vi que con estas últimas ganaba mucho más dinero". 

"Además no tenía que rendirle cuentas a nadie ni estar haciendo informes cada día. Lo dejé para dedicarme a tiempo completo a esto". Carlos dejó Deloitte definitivamente en septiembre de 2020.

Hoy, Carlos Rivero, Hipotermia, ocupa la posición número 64 de la clasificación trimestral de Hackerone, la plataforma más conocida para bug bounties, y que lista a los expertos según el número y la calidad de sus aportaciones. Solo en los últimos meses, Rivero ha recibido recompensas de firmas como Epic Games, Goldman Sachs, AT&T o GitHub.

Pero a Hipotermia esos rankings internos no le interesan demasiado: "Los puntos no reflejan el dinero que ganas, porque hay meses que he tenido muchos puntos y he sacado relativamente poco dinero y otros en los que he sacado mucho dinero y al final termino casi sin puntos. Intento no fijarme en la clasificación porque no ayuda en nada".

"Aunque no esté en el número uno, me invitan a eventos, que es lo que me interesa". Esos eventos a los que se refiere Rivero son convenciones o programas privados que Hackerone organiza por todo el mundo con diversos clientes, en los que, al haber menos hackers tratando de descubrir vulnerabilidades, es más fácil encontrar posibles vulnerabilidades a subsanar.

"Mi mayor recompensa diría que han sido 20.000 euros, aunque tampoco es una cifra muy alta. Hace nada un compañero logró una recompensa de 150.000. Depende mucho de quién sea y cuánto trabaje. En Hackerone hay ahora mismo creo que más de 12 o 15 personas que han sacado ya más de un millón de dólares en uno o dos años. Es relativamente poco tiempo".

Además de Hackerone, Hipotermia también ha trabajado con alguna otra plataforma. Lo que no recomienda bajo ningún concepto es aceptar programas de bug bounty sin recompensa solo por conseguir puntos en las clasificatorias de estas intermediarias. Entiende que pueden servir para aprender, pero las empresas nunca encontrarán vulnerabilidades muy críticas así.

Normalmente, la gente que ocupa esos primeros puestos "se dedica completamente a la automatización". Buscar vulnerabilidades tiene mucho de artesanía, pero en toda artesanía se pueden automatizar procesos. "Hay gente con 50.000 máquinas tirando repeticiones 24 horas al día 7 días a la semana, van saliendo cosas y las van reportando".

Lo que sucede es que ese tipo de vulnerabilidades no suelen reportar grandes recompensas y requiere mayor inversión. "Uno de los hackers más conocidos dentro de las bug bounties ha sacado ya más de 2 millones, su setup lo conforman 50 ordenadores y tiene la casa plagada de pantallas". Algunos invierten miles de euros en automatización.

El propio Rivero tiene su propia automatización. Le envía novedades a un chat de Telegram que revisa por la mañana, en la cama, nada más despertarse. Por ejemplo, páginas actualizadas. "Se suelen encontrar vulnerabilidades ahí". Después se levanta y en el ordenador empieza a buscar con más profundidad. "No tengo el día muy bien definido".

De hecho, ahora que Rivero ha adoptado una mascota vive algo mejor, ya que le ayuda a mantener una rutina paseándolo. "A veces trabajo por la noche. Otras veces, solo por las mañanas. Muchos días no quiero trabajar". En el momento en el que Hipotermia atendía a Business Insider España acababa de regresar de un evento de Hackerone, por lo que se tomaría unos días "con calma".

Al final, un factor ineludible en el mundo de un cazarrecompensas hacker es la suerte. "Siempre se puede pasar por alto alguna vulnerabilidad: un día estás cansado, no le dedicas demasiado rato a una web, y en ella había una vulnerabilidad interesante".

Ni todos los 'streamers' son Ibai, ni todos los 'hackers' pueden ser Hipotermia: los riesgos a la salud mental de trabajar así

El de Carlos Hipotermia Rivero es un caso extremo de hacker que se dedica a tiempo completo al mundo de las bug bounties tras comprobar que hacía más dinero con ellas que en su trabajo como asalariado. Sin embargo, su caso es extraordinario y los especialistas recomiendan, sobre todo a quienes empiecen en este mundo, aprender a lidiar con la frustración.

Roberto, de 41 años, apasionado de la ciberseguridad, también es hacker. En su caso, llegó al mundo de las bug bounties en torno a 2018. Pero la mayor parte de sus ingresos lo representa su nómina. Trabaja por cuenta ajena. Hizo un grado superior de Desarrollo de aplicaciones informáticas y trabajó cerca de 14 años como programador.

"Me dieron la oportunidad de pasarme a la ciberseguridad porque tenía ciertos conocimientos de hacking web y hackeando redes wifi y me cambié, cosa que agradezco muchísimo porque el hacking es mi trabajo y mi trabajo es mi pasión", explica por videollamada a este medio.

"La gente que tiene 2 trabajos como yo lo que vemos es que podemos ganar mucho más que en una empresa. Los sueldos en España no son lo mejor, son bastante medios. Una persona que se dedique al bug bounty y tenga conocimientos puede sacar muchísimo más. Lo veo como un añadido. Dedicarme al 100% al bug bounty no es mi objetivo".

Sobre todo porque Darkandroider, el pseudónimo con el que trabaja Roberto en el mundo de las bug bounties, también tiene una hija y nota que no puede dedicarle tanto tiempo a su pasión como antes. "Me apetece más estar relajado con la familia. A lo mejor a la semana puedo sacar 2 horas o una madrugada en algún fin de semana", reconoce.

"Mi objetivo es tener algo seguro y luego algo que me permita practicar vulnerabilidades. Si un día estoy aburrido, me pongo a buscar algo, y a veces participo en programas que no tienen recompensas por el mero hecho de practicar. Al final es un hobby, no quiero hacerme rico. Y encima te permite aprender y te mantiene actualizado".

El mayor trofeo de Darkandroider fueron 2.000 euros por una subida ficheros que le dio acceso a la posibilidad de una ejecución de código en remoto. Sin embargo, sus ingresos extra a veces pueden ser cantidades importantes. "Algunos meses, combinando varios reportes, sí he podido obtener 5.000 euros".

De la comunidad, Roberto Darkandroider solo tiene constancia de "3 o 4 personas" que se dedican a tiempo completo al bug bounty. Pero reconoce que es fácil empezar en este mundo y frustrarse: ver a otras personas ganando 5.000 dólares, 10.000 dólares, 50.000 dólares por reportar incidencias mientras que el recién llegado no encuentra nada.

"Esa información te bombardea todos los días y te pones a buscar, sin éxito. Otro día tampoco encuentras nada y entras en un círculo vicioso de frustración. La gente se cree que esto es llegar y empezar a encontrar cosas. Y te quemas. Llega el burnout. Hay que tener cuidado con eso".

Omar Benbouazza, uno de los organizadores de la RootedCON, está muy de acuerdo con advertir de ese riesgo. Cree que la comunidad española de hackers en bug bounties puede seguir creciendo, "pero se equilibrará". "Es importante mencionar que he visto a mucha gente quemada".

"Dejar tu trabajo para focalizarte en esto y que tus ingresos dependan de lo que encuentres significa que le vas a dedicar muchísimas más horas de lo que le dedicabas cuando lo compaginabas con un trabajo fijo". "He visto gente que curra más de 20 horas al día y eso no se puede hacer a largo plazo. Gente que era muy activa y ha tenido que parar, y lleva un año fuera de todo esto".

"Hay que cuidarse mucho la cabeza con esto", insiste Benbouazza. "Es exactamente lo mismo que pasa con influencers, streamers o creadores de contenido. Le dedican tantas horas porque quieren seguir creciendo que rompen por algún lado. Se tienen que cuidar". 

El propio Hipotermia compra la analogía con los streamers de Twitch. "Me siento identificado con el trabajo de streamer, solo que lo mío es más sencillo porque no se tiene la obligación de estar ahí siempre cada día: puedes trabajar cuando quieras. Si quieres sacar más dinero puedes trabajar un poco más".

Pero a veces sí que piensa si un mes está sacando poco o si tendría que trabajar más. Con todo, su situación es privilegiada: "Lo pienso y estoy ganando muchísimo más que cualquier amigo mío: tampoco me hace falta tanto".

Una forma de hacer currículum y llegar a donde firmas más convencionales no llegan: así lo ve la industria de la ciberseguridad

Cuidarse la cabeza para convertirse en hacker de bug bounties es importante, porque los inicios son duros, y en este sector más. El propio Darkandroider expone que hay que contar con una "base" y "empezar desde abajo". Él se organiza en Telegram en un canal llamado Bug Bounty ES en el que se comparten recursos y formación.

"Requiere mucha práctica. Es practicar, ser constante y paciente, practicar todos los días un poquito y tener mucha organización, ver qué se ha revisado y qué queda por revisar. Muchos empezaron casi sin saber, han ido creciendo y se dedican a ello". "Mucha gente se mete un día, no encuentra una vulnerabilidad y lo deja, hay que ser constante", confirma Hipotermia.

El propio Hipotermia recuerda que, para aprender, "está todo en internet": "Se puede aprender de cualquier sitio. Y esto va de dedicarle horas, sobre todo al principio. Participar en bug bounties puede servir para darse a conocer, como sucedía hace años. A mí me han llegado ofertas de trabajo, pero no me interesa entrar en ninguna empresa a corto plazo".

Omar Benbouazza cree que el fenómeno de las bug bounties se conoce en ciberseguridad, pero todavía se tiene que dar más a conocer fuera del ecosistema. "Hay que vendérselo a los CISO, a los responsables financieros, porque hay cierto miedo". Un fenómeno que para Félix Barrio, director del Instituto Nacional de Ciberseguridad, es de interés.

Así trabajan los hackers éticos que se dedican a piratear legalmente empresas como Uber, Starbucks o Airbnb

Barrio, en una entrevista con Business Insider España, se refirió a las bug bounties como un mercado que "evidentemente es legítimo y tiene sus reglas". "Lógicamente no entramos en lógica de mercado porque no dejamos de ser una agencia gubernamental, pero sí promovemos las plataformas de intercambio de información entre empresas".

Al final, muchos reportes, aunque sean de utilidad para una compañía que contraten hackers para que se haga un pentesting, es información que puede ser crucial para toda su cadena de suministro y para otras firmas de su sector. Josep Albors, el director de investigación y concienciación de ESET en España, habla de esos cazarrecompensas como una pieza "esencial" de la ciberseguridad.

"Gracias a ellos se descubren agujeros de seguridad que podrían haber sido aprovechados por ciberdelincuentes. Se merecen que su trabajo sea reconocido. Algunos de ellos ya trabajan para empresas, otros prefieren seguir yendo por libre, pero está claro que no les faltará trabajo. En España necesitamos mejorar las condiciones laborales".

Eusebio Nieva, director técnico de Check Point para España y Portugal, opina que aquí la empresa está más acostumbrada "a contratar para que se les hagan ataques de hacking ético". "No tenemos en cuenta que, si ponemos un programa de bug bounty, el beneficio es mayor: si nadie encuentra nada, el coste es mínimo y, si encuentran, es probable que nos salve de un ataque posterior".

Y es que, como recuerda el propio Benbouazza, un buen hacker de bug bounties lo será si antes que nada es un buen pentester. Mientras el tejido productivo se adapta a sus necesidades y valor, los hackers siguen innovando. Si las empresas no entienden qué pueden aportar en sus plantillas, ellos seguirán ahí fuera, haciendo su trabajo.