Los entresijos de la gran 'hacker night' española, en la que 70 ciberexpertos 'atacaron' a una gran empresa del Ibex por un botín de hasta 200.000 euros

Hacker Night en la RootedCON.
Hacker Night en la RootedCON.
  • El mundo de los cazadores de bugs y errores de ciberseguridad es un nuevo segmento de la industria de la ciberseguridad que ha llegado para quedarse.
  • España ha celebrado su primer evento en directo en el que hackers compiten entre sí para ver quién detecta más brechas de seguridad.
  • 70 expertos en ciberseguridad participaron en una campaña: los objetivos eran la plataforma de home banking de una compañía que cotiza en el Ibex 35 y una página web desarrollada por una agencia del Gobierno.
  • Al final de la noche —el evento tuvo lugar entre las 23:00 y las 6:00— se habían repartido más de 10.000 euros en recompensas. Las compañías participantes pusieron sobre la mesa 200.000 euros.
  • Así trabajan los hackers que cazan recompensas detectando bugs para las grandes empresas y así fue este evento privado organizado por la RootedCon.
  • Descubre más historias en Business Insider España.

Los programas para hackers cazarrecompensas han llegado a España para quedarse. Cada vez son más las empresas que confían en las plataformas de bug bounty para pagar a los especialistas que detecten bugs —fallos— en sus infraestructuras de seguridad informática.

Entidades bancarias, agencias gubernamentales, grandes tecnológicas... Todo tipo de compañías se han convertido en clientes de plataformas como HackerOne, Bugcrowd o X. Son intermediarias que ponen en contacto a la comunidad de hackers con grandes firmas que quieren mejorar su ciberseguridad.

Las empresas ya son conscientes de que sale más barato recompensar a los bug hunters —cazadores de bugs— que contratar a un consultor externo para apuntalar sus muros tecnológicos. Así lo reflejaba, de hecho, un estudio de Berkeley allá por 2013.

Bugcrowd, una de las plataformas de bug bounty más conocidas, advirtió mediados de 2018 de que 1 de cada 3 directivos de ciberseguridad planteaba incluir un programa de recompensas en su empresa.

La RootedCon, uno de los mayores eventos de ciberseguridad de España, también es consciente de que este segmento se está consolidando en la industria de la ciberseguridad. Su undécima edición acaba de celebrarse en los cines Kinépolis de Pozuelo de Alarcón (Madrid) y, en su programa, hubo un evento especial: una hacker night.

Esta noche de hackers fue, en realidad, un evento de bug bounty en directo. Desde las 23:00 horas a las 06:00 de la mañana del día siguiente, un grupo de cerca de 60 expertos en ciberseguridad consiguió detectar una docena de vulnerabilidades en dos grandes compañías españolas.

Leer más: Las empresas van a tener que ser mucho más transparentes ante los ciberataques y proteger a los 'soplones' por mandato europeo, según advierte un experto en ciberseguridad

La recompensa total para esta docena de hackers fue de más de 10.000 euros.

Los nombres de las compañías que participaron en la hacker night no pueden trascender, dado que la celebración de un evento así está regido por estrictas normas de confidencialidad. Business Insider España acompañó a los hackers durante su maratón de ciberataques.

2 de las compañías que participaron son cotizantes del Ibex 35. Entre todas pusieron sobre la mesa 200.000 euros a repartir entre quienes detectaran brechas en su seguridad digital. Otra organización que participaba es una agencia gubernamental.

Así se vivió este maratón de ciberrecompensas desde dentro.

Los hackers que estaban en la cola para entrar en el evento tuvieron que firmar un acuerdo de confidencialidad con las 2 organizaciones que iban a ser 'atacadas'.

Cola para acceder a la Hacker Night en la RootedCON.
Cola para acceder a la Hacker Night en la RootedCON.

El perfil de los asistentes era muy variado: desde profesionales del desarrollo informático a expertos de ciberseguridad, incluyendo jovencísimos hackers de entre 16 y 21 años.

Cybex, hackers jóvenes que acudieron a la Hacker Night de la RootedCON.
Cybex, hackers jóvenes que acudieron a la Hacker Night de la RootedCON.

Un desarrollador confirmó que era la primera vez que acudía a una bug bounty. El profesional informático confiaba en que aprender más sobre los hackers le ayudaría a desarrollar sistemas mejor protegidos.

También sorprendió ver por allí a un grupo de jóvenes de entre 16 y 21 años. Aseguraron autoformarse en una comunidad de Discord —un programa de mensajería por voz— con decenas de miembros de España y Latinoamérica. Se dan a conocer como Cybex.

"Este evento nos ha servido a muchos para desvirtualizarnos y conocernos".

En cuanto se repartieron las primeras copias del acuerdo de confidencialidad, muchos hackers descubrieron qué empresas iban a participar. Todavía en la cola, abrieron sus portátiles y comenzaron a sondear a sus objetivos.

NDA, acuerdo de confidencialidad.

Los organizadores se vieron obligados a llamar la atención hasta en un par de ocasiones, ya que los sistemas de ciberseguridad de la firma empezaron a registrar peticiones de acceso minutos antes de que comenzara oficialmente el evento.

Leer más: Cómo la muerte de un desarrollador de apps para Android puede convertirse en un problema para tu seguridad informática, según el 'hacker' Chema Alonso

La situación pasó de anécdota y toda la noche estuvo marcada por un gran ambiente. Fue, sin más, un reflejo de cómo se abordan desafíos como este desde la cultura hacker.

Una vez dentro de la sala, las 2 empresas confirmaron cuáles serían los objetivos autorizados para los participantes: teléfonos móviles corporativos, la plataforma de home banking y una página web creada ex profeso.

Lector de huellas del Samsung Galaxy A80

Los empleados de la entidad llevaron varios terminales móviles, idénticos a los teléfonos corporativos que utilizan los empleados de la firma. Querían que los hackers que participaban en el evento los rootearan e intentaran comprometer su seguridad.

El responsable del equipo de e-Crime de una de las compañías saludó a los participantes: "Esperamos que rompáis muchas cosas y nos hagáis más seguros".

Hackers operando en la Hacker Night.
Hackers operando en la Hacker Night.

La primera vulnerabilidad que destaparon los hackers llegó a la 1 de la madrugada y la sala estalló en aplausos y felicitaciones.

Hacker Night en la RootedCON.
Hacker Night en la RootedCON.

Uno de los hackers contaba a Business Insider España que lo primero que tenían que hacer los especialistas, una vez conociesen las empresas objetivo, es hacer un diagnóstico: ver qué páginas web, apps y plataformas utilizan las compañías e intuir posibles vulnerabilidades.

La primera vulnerabilidad que se detectó era que las cookies de la página web no tenían una opción activada. En lenguaje grueso: cabía la posibilidad de que se inyectase código malicioso en una de las páginas de la entidad.

El descubrimiento se recompensó con 300 euros a través de la plataforma Yogosha, una startup francesa que pone en contacto a hackers con grandes empresas.

300 euros, la primera recompensa de la noche en la Hacker Night de la RootedCon.

Toda la sala estalló en aplausos, lo que animó a los participantes a redoblar esfuerzos. Los primeros minutos de la noche habían sido muy silenciosos debido a la concentración en la que se sumieron todos los equipos.

Leer más: Ponle un mantel a tu teléfono: descubren cómo hackear asistentes de voz con ondas ultrasónicas que tú no oirás pero tu smartphone sí

Yogosha es una startup que nació en 2015 y que fundaron 2 personas, pero ahora su equipo lo forman 21 especialistas en ciberseguridad.

Varios hackers en la Hacker Night de la RootedCON.

Yogosha es la primera firma francesa de bug bounty privado e introdujo esta cultura en Europa.

Las empresas participantes pusieron sobre la mesa 200.000 euros a repartir entre los hackers que detectaran brechas de seguridad en su plataforma. Además, la Rooted ofrecía 3.000 euros más al 'bug' más espectacular.

Escaleras de acceso a la RootedCON.

Las recompensas se pagan en función de la gravedad del bug descubierto. Los menores se pagaban con 250 euros. Los más graves, con recompensas de hasta 2.000 euros.

Además, la unidad de ciberseguridad de otra gran tecnológica del Ibex 35 llegó a ofrecer oportunidades laborales a algunos de los hackers más destacados de la noche.

Un hombre teclea durante la Def Con, una convención de hackers en Las Vegas en 2017.
Un hombre teclea durante la Def Con, una convención de hackers en Las Vegas en 2017.

La noche terminó con más de 10.000 euros repartidos como recompensa: se reportaron 74 'bugs' y se aceptaron —y pagaron— 42.

El de las 'bug bounties' es un incipiente sector que ya ha provocado que jóvenes expertos en ciberseguridad se hayan convertido en millonarios, como es el caso de Santiago López.

Santiago López se hizo millonario a los 19 años.
Santiago López se hizo millonario a los 19 años.HackerOne

El argentino Santiago López se convirtió el año pasado en el primer millonario que había amasado su fortuna participando en campañas de caza de bugs. López participa habitualmente en los programas de recompensa que organiza HackerOne, una de las principales webs de este sector.

Dado su prodigiosa habilidad para detectar y cazar errores y brechas de ciberseguridad, López ya recibe encargos de bug bounty más allá de las peticiones públicas que se organizan en plataformas del sector.

En España todavía es un mundo algo desconocido, pero iniciativas como la de la RootedCon muestran que cada vez hay más interés por explotar este modelo de recompensas.

Un joven frente a un monitor de ordenador.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.