Hackers a la caza de recompensas: así funciona un bug bounty y cómo acceder a estos programas
Los programas de recompensas son opciones para hackers que quieran especializarse en descubrir vulnerabilidades y, a cambio, recibir una compensación económica.
A pesar de que la imagen del hacker con una capucha negra que oculta su identidad es la más extendida, lo cierto es que ocurre prácticamente todo lo contrario, ya que muchos se centran en encontrar vulnerabilidades para proteger a organizaciones y usuarios.
Esto es lo que se conoce como hackers de sombrero blanco, los responsables de utilizar sus habilidades para hacer el bien, en definitiva, identificando vulnerabilidades en sistemas, redes y aplicaciones a cambio de una recompensa.
Por supuesto, todos ellos cuentan con una autorización previa de la organización en cuestión, tanto organismos públicos como negocios privados, que conceden en muchas ocasiones recompensas muy jugosas a estos hackers de sombrero blanco.
En el extremo opuesto aparecen los hackers de sombrero negro, los ciberdelincuentes que suelen acaparar prácticamente todas las noticias, y que buscan vulnerabilidades para explotarlas o venderlas en mercados negros de la dark web, Telegram y otros foros criminales.
Dentro de esto mundo, el término concreto para estos programas de recompensas es el de bug bounty, que proviene de términos que describen esto mismo: un bug que los ciberdelincuentes pueden explotar, pero con un pago económico –bounty– para los hackers de sombrero blanco que los descubren antes.
Ahora bien, no todo sirve en este ámbito, ya que esto requiere de permisos especiales, aunque ha habido casos en el pasado de hackers que actuaron por cuenta propia y, lógicamente, comunicaron a las organizaciones las vulnerabilidades descubiertas.
Un trabajo que nunca fue bien visto, incluso por las big tech
Algo realmente curioso de esta industria es que, además de que mueve millones de euros, siempre estuvo marcada por la polémica, debido a que muchas compañías solían acabar demandando a los hackers que comunicaban a las empresas las vulnerabilidades.
La primera recompensa de este tipo fue, no obstante, un Volkswagen Beetle –el afamado y popular escarabajo– o 1.000 dólares en efectivo, de la mano de la compañía Hunter & Ready, que buscaba promocionar su sistema operativo, VRTX.
En aquel entonces corría el año 1983 y esta empresa aseguraba que su sistema era totalmente robusto, así que decidieron ofrecer esta recompensa para atraer a este tipo de hackers, así como descubrir posibles vulnerabilidades que se les hubieran escapado, algo que puede ocurrir perfectamente –y que continúa ocurriendo–.
Aunque la verdadera revolución de este concepto llegó ya bien entrada la década de los 90, cuando Netscape Navigator se convirtió en uno de los navegadores webs más importantes, aunque se enfrentaba a una realidad preocupante, ya que sus ingenieros no daban abasto para corregir los fallos que la comunidad reportaba.
Uno de los ingenieros de soporte técnico de Netscape Communications, Jarrett Ridlinghafer, se dio cuenta de que muchos usuarios compartían directamente la solución para corregir dichos fallos, como se dice popularmente, "por amor al arte".
Así nació el Netscape Bugs Bounty Program durante el lanzamiento de la segunda versión de Netscape Navigator, una iniciativa que supuso un antes y un después en la capacidad de la compañía para corregir fallos.
Con el comienzo del siglo XXI y la consolidación de un sector tecnológico con compañías enormes, como Microsoft, Apple u Oracle, muchos hackers se pasaron al lado oscuro y los foros donde se vendían vulnerabilidades a cambio de dinero se dispararon.
Al principio, todas estas grandes compañías se opusieron al modelo de bug bounty, sobre todo con una posición contraria muy marcada por Microsoft, una de las últimas en lanzar su programa propio, ya en 2013, con las primeras recompensas en Windows 8 e Internet Explorer 11.
Todo ello gracias a Katie Moussouris, que logró no solo convencer a Microsoft, sino también al propio Pentágono de Estados Unidos, que lanzó el programa Hack the Pentagon en 2016, un cambio de paradigma que permitía a civiles intentar atacar sus sistemas y redes de forma controlada.
Cómo empezar en este mundo y alcanzar los programas más importantes
Como en cualquier campo, lo más recomendable es aprender a andar antes que a correr. Para ello, siempre conviene haber probado diferentes páginas que se centran en el reconocimiento de vulnerabilidades críticas, de forma gratis y con ejemplos en laboratorios prácticos.
En tal caso, necesitarás comenzar poniendo en práctica conocimientos de diferentes materiales, como usar correctamente la terminal de Linux, el manejo de lenguajes de programación –con Python como prácticamente obligatorio–, así como términos básicos de redes y sistemas.
Adicionalmente, es obligatorio entender el OWASP Top 10, que enumera los 10 riesgos de seguridad más críticos, desde inyecciones SQL hasta controles de acceso defectuosos.
Una vez hayas entendido a nivel teórico todo esto, el segundo paso consiste en practicar en laboratorios preparados para tal fin, con páginas como TryHackMe o Hack The Box, que te propondrán retos con los que conseguirás afianzar los conocimientos.
En la etapa final, lo mejor es comenzar desde lo más básico: muchas organizaciones ofrecen puntos de reputación, en lugar de recompensas económicas, incluso con vulnerabilidades de menor gravedad.
Para poner a prueba a diferentes organizaciones, necesitarás acceder a alguna plataforma como HackerOne –la más grande de todo el mundo, usada por Uber, Airbnb o el Pentágono– o YesWeHack, esta más centrada en la protección de datos a nivel europeo.
A pesar de que compañías como Apple y Google mantienen sus programas propios, quizá comenzar con vulnerabilidades leves aquí es la mejor alternativa para que el tiempo de trabajo compense lo ganado al final.
Quizá cabe subrayar que, aunque se suele pensar que estas recompensas van a suponer un ingreso económico inmediato, hay muy pocos ejemplos de hackers que hayan ganado millones, aunque los hay.
El primer hacker que superó la barrera del millón de dólares fue un joven argentino de 19 años, Santiago López, quien en 2019 rebasó dicha frontera, precisamente gracias a HackerOne.
Y el selecto grupo de hackers multimillonarios es prácticamente anecdótico, con lo cual estos programas de recompensas hay que tomarlos con pinzas, ya que en muchos casos podrías acabar trabajando sin recibir nada a cambio.