Así es el sector de las 'bug bounties' que Telefónica va a impulsar en España: las marcas mejoran su seguridad y los hackers pueden convertirse en millonarios

El mundo de los cazadores de bugs todavía no es muy conocido en España. ElevenPaths, la empresa de Telefónica Tech especializada en ciberseguridad, se ha propuesto cambiar esto antes de que cambie el año.

La firma pretende lanzar un servicio privado de bug bounty en los próximos meses. La principal diferencia con respecto a las plataformas más conocidas de este fenómeno es que los hackers que accedan a participar en los programas de bug bounty de ElevenPaths estarán invitados por los expertos de Telefónica Tech.

De este modo, según explicaba Alberto Cuesta, responsable de los Servicios de Detección y Respuesta Gestionada (MDR, por sus siglas en inglés) y Seguridad Ofensiva de ElevenPaths, la compañía podrá tener "más control sobre quién participa en el programa".

Leer más: Telefónica Tech prepara una plataforma privada de 'bug bounty' para que los hackers opten a recompensas por detectar brechas de seguridad en empresas

El objetivo es "poder dar más garantías a nuestros clientes para que se animen a probar este modelo". Porque el problema en España de un fenómeno como el de los hackers cazadores de recompensas es, precisamente, la falta de confianza de las compañías en este tipo de servicios.

Los programas de bug bounty son iniciativas en los que las empresas quieren celebrar auditorías de ciberseguridad lo más realistas posibles. Para ello, contratan los servicios de una plataforma de bug bounty para que los hackers que están registrados en la misma intenten vulnerar los sistemas informáticos de la compañía en cuestión.

Leer más: Así trabajan los hackers éticos que se dedican a piratear legalmente empresas como Uber, Starbucks o Airbnb

En líneas generales, no hay riesgos para las compañías: los hackers presentes en la plataforma pueden percibir grandes emolumentos si descubren una brecha grave de seguridad, y además firman numerosísimas cláusulas de confidencialidad para proteger tanto la reputación como la integridad de sus 'clientes'.

Sin embargo, el fenómeno no se ha prodigado mucho en el tejido productivo español. Ha habido grandes compañías del IBEX 35 que han expuesto sus plataformas de home banking a eventos como la Hacker Night que organizó la RootedCon de este año. Fue un evento en vivo en el que medio centenar de investigadores en ciberseguridad trataron de penetrar los resquicios de dicha plataforma.

Por supuesto, son las compañías que contratan los servicios de estos hackers freelance las que ponen las condiciones: qué hay que ciberatacar, con qué métodos, y cómo. Solo de esta forma las marcas que se exponen a estos procesos de auditoría pueden medir sus resultados y calibrar sus parches.

El mercado de los programas de recompensa para hackers en España

El nuevo servicio de bug bounties de ElevenPaths viene a llenar un hueco en el mercado español. A pesar de que grandes marcas han probado ya este tipo de procesos, el sector en el país está disputado ahora mismo por plataformas esencialmente estadounidenses —en el caso de las europeas, las principales están en Francia—.

Normalmente muchas de las grandes compañías que ya se han hecho con los servicios de estos cazadores de bugs han procurado evitar anunciarlo públicamente: el sector de la ciberseguridad es una industria muy sensible y discreta. Los ciberdelincuentes siempre están al acecho.

En muchas ocasiones, algunas compañías no saben explicar a su accionariado por qué este tipo de iniciativas repercuten positivamente a la seguridad informática de las empresas.

En España, antes de que llegue la unidad de bug bounties de ElevenPaths y Telefónica Tech, una startup barcelonesa nacía en pleno estado de alarma. Su nombre es CazHack.

Su CEO y cofundadora es Paula Pardo, y explicaba hace semanas a Business Insider España que su intención es convertirse en "la referencia en el sector del bug bounty para empresas en España". Los fundadores de CazHack son bug hunters —cazadores de bugs, errores informáticos—.

Leer más: No tienen ni 25 años y ya son millonarios: así han conseguido estos 2 hackers hacer su fortuna

La idea nació hace más de un año. "Detectamos que España era aun un territorio muy virgen en este sector, y quisimos ofrecer el servicio a aquellas empresas españolas que tenían interés pero no acababan de lanzarse a la piscina". Explica Pardo que esa "indecisión" se debe a "varios factores".

"Desde el desconocimiento ante la posibilidad de participar en este tipo de programas, al miedo de que participando la empresa quedara muy expuesta, o incluso a querer evitar que el monto acabara acumulándose de manera descomunal al ser conscientes de que aún había mucho camino por recorrer en sanear y segurizar sus sistemas", detalla.

"Hay numerosos bug hunters españoles de alto nivel, entre los que se incluyen miembros de nuestro equipo y fundadores. Nos parecía una pena que tuvieran que acudir a plataformas extranjeras para poder participar en este tipo de ejercicios. De esta manera, el propio tejido empresarial tiene la oportunidad de apoyar u fomentar el capital humano de alta calidad profesional presente en España".

Pardo planteaba además que "en estos últimos años" se ha empezado a ver "un esfuerzo y creciente interés a nivel legislativo a nivel nacional, europeo y evidentemente internacional por la ciberseguridad".

Uno de los obstáculos que planteaban desde ElevenPaths al hecho de que el bug bounty no haya prosperado como fenómeno en España responde, precisamente, al ámbito legislativo. No es lo mismo sufrir un "ciberataque" controlado desde un hacker en España que recibirlo desde un hacker radicado en Moscú.

En marzo, CazHack aun estaba acabando de "tomar forma". Para entonces ya habían "identificado, contactado y reclutado a un número de perfiles expertos en diversos campos para ofrecer a las empresas un enfoque tan amplio como especializado".

Así son las grandes plataformas internacionales de 'bug bounty'

Si el mercado en España está poco disputado, a nivel internacional se viven otras circunstancias.

Bugcrowd y HackerOne son las principales plataformas de bug bounty. La primera levantó cerca de 27 millones de euros en una ronda de financiación este mismo año liderada por Rally Ventures. La segunda reunió más de 32 millones en una ronda que se anunció en septiembre de 2019.

La primera ha reunido 70 millones de euros en distintas rondas, mientras que la segunda ya ha sumado 100 millones.

Estos números dan una idea del potencial que tiene este sector. Aunque a ojos de compañías europeas, denota también que el mercado está copado por firmas norteamericanas.

Es lo que opina YesWeHack, que se define como la principal plataforma de bug bounty europea. De origen francés, levantó 4 millones de euros en una ronda de financiación el año pasado, y tiene planes de extenderse con oficinas además de en Francia en Suiza, Alemania y Singapur.

Los números de YesWeHack en cuanto a su negocio operativo tampoco son desdeñables: asegura contar con más de 15.000 expertos en ciberseguridad repartidos en más de 140 países con empresas —clientes— que confían en sus programas en más de 15 países.

Algunos de los clientes que han realizado programas de bug bounty con YesWeHack son Blablacar, Orange, OVH o Deezer, y las recompensas que se han entregado en sus plataformas a los hackers más avezados han sido de 20.000 euros. Se registró el año pasado.

Leer más: Australia alerta de que está bajo un ciberataque de un estado extranjero y algunos expertos señalan a China

YesWeHack también da la opción a las compañías de realizar programas tanto públicos como privados. La división de bug bounties de ElevenPaths se especializará en programas privados. Según YesWeHack, esta alternativa permite remitir los programas de los clientes "a un número específico de investigadores, elegidos por la empresa, y sin posibilidad de estar sujeta a comunicaciones externas".

La plataforma explica que en Francia los programas de bug bounties son "generalmente bienvenidos" porque el fenómeno se ha popularizado "desde hace una década". "Están de moda, no tanto como en Estados Unidos, pero en el resto de Europa todavía queda un largo camino por recorrer", entiende Rodolphe Harand, director gerente de la compañía.

"En España el mercado no está muy maduro, aunque bancos importantes y compañías de e-commerce han empezado a trabajar con nosotros y le enseñarán el camino al resto".

¿Cuáles son los requisitos que necesita una empresa para estar "lista" para un programa de bug bounty? Según Harand, "tener una capacidad mínima para arreglar vulnerabilidades y tener una capacidad mínima para responder a las auditorías de los investigadores".

¿Por qué mínima? "Porque no necesitas un gran equipo para gestionar un programa de bug bounty: basta con queajustes el programa a tus recursos técnicos y humanos".

Los grandes hackers del mundo compiten entre sí

HackerOne anunció el año pasado que un joven argentino de 19 años conocido como @try_to_hack había logrado reunir más de un millón de dólares en recompensas. Santiago López, su nombre real, sigue muy activo en HackerOne. Sus últimas recompensas han llegado tras 'atacar' a Airbnb.

La propia HackerOne anunció en una nota de prensa en agosto del año pasado que a este selecto club de hackers millonarios se habían incorporado expertos en ciberseguridad de Reino Unido, Australia, Suecia, Hong Kong y Estados Unidos.

Algunas plataformas incorporan fórmulas para gamificar la investigación en ciberseguridad para sus clientes. A día de hoy, Pablo, por ejemplo, es el segundo hackeren el ranking de HackerOne.

Leer más: Los entresijos de la gran 'hacker night' española, en la que 70 ciberexpertos 'atacaron' a una gran empresa del Ibex por un botín de hasta 200.000 euros

Pero estas plataformas no son el único método que tienen estos expertos en ciberseguridad para lograr recompensas. En muchos casos, las grandes compañías tecnológicas tienen sus propios programas de bug bounty.

Facebook, por ejemplo, tiene un salón de la fama en el que aparecen los nombres de los hackers éticos que han colaborado con su programa de bug bounty, si bien en este caso no detalla a cuánto ascendieron las diversas recompensas.

Hace días Sony prometió recompensas de hasta 50.000 dólares para los hackers que fuesen capaces de reportar brechas de ciberseguridad en los sistemas en línea de sus consolas PlayStation.

Una reciente tabla con los mejores programas para cazadores de bug realizada por State of Security situaba a Zoom en el puesto número uno de las mejores plataformas a las que reportar problemas de ciberseguridad. Sin embargo, cerrando la lista figuraba Apple, cuya recompensa récord fue de un millón de dólares.