Los programas para ganar recompensas 'cazando' vulnerabilidades, puerta de entrada para nuevos 'hackers': "Sirven para darse a conocer"

El fenómeno de las bug bounties, programas con los que empresas recompensan a hackers que les reporten sus propias vulnerabilidades, ha evolucionado mucho en los últimos años. Sus orígenes se remontan a los programas de publicación responsable, y en muchos de ellos la posibilidad de remunerar a estos expertos en ciberseguridad ni se contemplaba.

Lo resumía así Omar Benbouazza, uno de los organizadores de la RootedCON, el mayor congreso de ciberseguridad de España. "Un cazador de bugs es una persona que, antes de manera altruista, reportaba vulnerabilidades con la intención de mejorar los sistemas y la protección de usuarios y consumidores".

"Esas personas se han vuelto un poco más mayores y han visto que en muchas ocasiones sus aportaciones no eran retribuidas o siquiera agradecidas. A veces, eran incluso perseguidos", apunta.

Así es el día a día de los 'hackers' que se dedican a cazar recompensas

En el concepto de programas de publicación responsable de vulnerabilidades, el término "responsable" juega un papel crucial. Implica que los expertos ofrecerán sus descubrimientos primero a la entidad que sufra de la vulnerabilidad, a fin de que la pueda corregir antes de que los hallazgos se compartan con todo el mundo y pueda ser explotados por ciberdelincuentes.

Dado que muchas empresas no remuneraban, premiaban o agradecían a los hackers su labor, esa "responsabilidad" ha acabado teniendo un precio. Todavía hoy hay profesionales que de manera autónoma o a nivel empresarial detectan graves vulnerabilidades que ni siquiera reciben respuesta por parte de las afectadas.

Como le sucedió a Tarlogic, compañía gallega de ciberseguridad que hace un año demostró en precisamente la RootedCON que hackear contadores inteligentes de la luz era posible.

Las 'bug bounties' se profesionalizan

En ese contexto, las bug bounties como programas que remuneraban y premiaban a expertos en ciberseguridad han pasado de ser un fenómeno o una tendencia a una realidad más del mercado de la seguridad informática. Desde que gigantes tecnológicas como Google o Meta pusieran en marcha sus propios programas, muchas firmas han ido emulándoles.

Ya no solo en el sector tecnológico. El retail, la banca o la energía son otras de las áreas en las que multinacionales han emprendido estos programas. Y, prácticamente al mismo tiempo, aparecieron firmas especializadas en servir de intermediarias. Plataformas como HackerOne, Bugcrowd o Yogosha basan su modelo de negocio en conectar a empresas y hackers.

Se trata de un modelo de negocio que ya es en muchos casos sólido. Telefónica Tech sopesó hace unos años la idea de adentrarse en este sector, aunque no con una plataforma abierta, sino más bien con un servicio por el cual algunos hackers entrarían por invitación para trabajar con algunos clientes de la multinacional española.

La aparición de plataformas abiertas como las antes citadas han democratizado el acceso a este mundo, en el que cualquier hacker puede poner a prueba sus conocimientos, paciencia y suerte tratando de detectar vulnerabilidades de las firmas que aparezcan listadas en estos portales.

Si encuentran algo, recibirán puntos y en el mejor de los casos dinero. Esos puntos sirven para que los hackers compitan entre sí en una clasificación, y cuanto más alto se esté en ella, más invitaciones a programas privados —con recompensas más accesibles y suculentas— recibirán.

Es el ejemplo de Carlos Rivero, un joven de 28 años que dejó su empleo para dedicarse a tiempo completo a las bug bounties al detectar que ganaba más dinero por su cuenta que trabajando en una consultora. Le va bien: en cuestión de 2 años ha podido ahorrar para la entrada de su primer piso en Barcelona.

Pero el de Rivero ni es ni puede ser el único ejemplo. Otros hackers, como Darkandroider, explicaba a Business Insider España que él usa las bug bounties como un complemento a su nómina. Siempre con cuidado, porque como explican él o Benbouazza, uno de los mayores desafíos a la hora de dedicarse a estos programas como hacker es el de gestionar la frustración.

Una oportunidad para hacer currículum y darse a conocer en el sector

En muchos centros formativos en los que se imparten bootcamps de ciberseguridad uno de los primeros consejos que escuchan los alumnos es el de que valoren empezar a crear contenido sobre este mundo. 

El darse a conocer en la red es una de las primeras técnicas con la que los hackers pueden conseguir trabajo. Pero en las bug bounties es donde el trabajo y la trayectoria de un especialista pueden hablar por sí solas. Varios expertos compartieron en este artículo varios consejos para iniciarse en este mundo.

Para acceder a las bug bounties, formarse es esencial. "Requiere mucha práctica. Es practicar, ser constante y paciente, practicar todos los días un poquito y tener mucha organización, ver qué se ha revisado y qué queda por revisar. Muchos empezaron casi sin saber, han ido creciendo y se dedican a ello", apuntaba Carlos Rivero, el hacker español que se gana la vida con estos programas.

"Está todo en internet. Se puede aprender de cualquier sitio. Y esto va de dedicarle horas, sobre todo al principio. Participar en bug bounties puede servir para darse a conocer, como sucedía hace años. A mí me han llegado ofertas de trabajo, pero no me interesa entrar en ninguna empresa a corto plazo", enfatizaba.

Las empresas de ciberseguridad valoran el rol de estos hackers en las bug bounties. Josep Albors, el director de investigación y concienciación de ESET en España, hablaba de esos cazarrecompensas como una pieza "esencial" de la ciberseguridad.

Dejé mi empleo para ser 'hacker' cazarrecompensas a jornada completa y me va bien: con 28 años ya me he comprado un piso en Barcelona

"Gracias a ellos se descubren agujeros de seguridad que podrían haber sido aprovechados por ciberdelincuentes. Se merecen que su trabajo sea reconocido. Algunos de ellos ya trabajan para empresas, otros prefieren seguir yendo por libre, pero está claro que no les faltará trabajo. En España necesitamos mejorar las condiciones laborales".

"No tenemos en cuenta que, si ponemos un programa de bug bounty, el beneficio es mayor: si nadie encuentra nada, el coste es mínimo y, si encuentran, es probable que nos salve de un ataque posterior".

Con todo, las bug bounties todavía tienen terreno sobre el que penetrar: el de las pymes y muchas grandes empresas españolas. Omar Benbouazza, de la RootedCON, reconocía a Business Insider España que el fenómeno se sigue mucho en el mundillo, pero debe conocerse más fuera de su ecosistema.

"Hay que vendérselo a los CISO, a los responsables financieros: todavía hay cierto miedo". Un miedo de que estos programas revelen secretos de negocio. Pero la realidad es tozuda y este tipo de instrumentos, además de generar más puestos de trabajo, redundaría en una mejor seguridad de muchas compañías.

Así lo ve también el director del Instituto Nacional de Ciberseguridad, Félix Barrio, que en una entrevista también con este medio adujo que desde el organismo sí promovían plataformas de intercambio de información entre empresas, algo que se puede propiciar recompensando a hackers. Un mercado, el de las recompensas por cazar bugs, que es "legítimo" y tiene "sus propias reglas".