La liga de los ‘hackers’ extraordinarios: así son los cazadores de fallos más prolíficos del mundo
Son jóvenes, les fascina la informática y algunos de ellos donan el dinero que ganan a causas humanitarias. Estos 'hackers' también cazan, pero no pokémones precisamente, sino 'bugs', los temidos agujeros de seguridad que se esconden en webs y aplicaciones. Son errores pequeños que para muchos pasarían desapercibidos, pero algunas grandes empresas pagan a precio de oro el descubrimiento de uno de estos fallos. Y ellos están allí para atraparlos.
En Australia, el programa de recompensas por detección de fallos Bugcrowd recoge los datos de informáticos de más de 110 países, organizados en varias regiones y que se encargan de atrapar dichos fallos. Asimismo, estudia los programas de recompensas. En total, trabajan con 30.000 investigadores de ciberseguridad de todo el mundo, según explica a HojaDeRouter.com su fundador y consejero delegado, Casey Ellis. Ellis explica que los programas de recompensas han crecido en los últimos años. Según su informe publicado el pasado mes de junio y que abarca del 1 de enero de 2013 al pasado 31 de marzo, había más de 300 programas para los que unos 30.000 investigadores habían descubierto 54.000 vulnerabilidades.
“Los atacantes están subiendo su intensidad y el ingenio para sacar provecho de las vulnerabilidades de seguridad. A su vez, los programas de recompensas proporcionan una oportunidad para nivelar el campo de juego de la seguridad cibernética, fortaleciéndolo”, explica Ellis.
El objetivo es descubrir ese fallo antes de que un cibercriminal lo haga y lo utilice para sus acciones maléficas. A la hora de clasificar a los cazadores, el programa se centra principalmente en el número de fallos que han notificado. Los siete más prolíficos son hombres y la mayoría se encuentran en el continente asiático.
En esta lista no podía faltar India. El país destaca por los muchos expertos que han reportado errores para empresas como Facebook, algo que les ha generado pingües ganancias: más de 600.000 euros repartidos por todo el país. Gracias al impulso de la web de Zuckerberg, entre otras muchas, India es el primero de todos los países en esta clasificación, con 23.525 investigadores que han informado sobre el 43,04 % de los 'bugs' detectados durante el periodo que comprende el estudio.
El líder de todos ellos es Hari HaramHari Haram, con más de 330 ‘bugs’ registrados desde noviembre de 2014. El 98 % de los fallos que ha descubierto han sido aceptados por las empresas afectadas, entre ellas Fitbit o Tesla, una empresa que paga entre 100 y 10.000 dólares (entre 91 y 9.100 euros) por cada 'bug' detectado y verificado como cierto.
Al lado de India se encuentra nuestro siguiente protagonista. Shahmeer Amir es el líder en Pakistán, con 870 'bugs' encontrados desde abril de 2013, cuando se unió al programa. Apple, Buffer, Coursera, Deutsche Telekom, LinkedIn o HTC son algunas de las 300 empresas a las que ha informado acerca de agujeros. Estas y otras muchas se lo han recompensado, pero no siempre resulta sencillo. Para notificar un fallo en WhatsApp llegó a escribir al perfil de LinkedIn de uno de los trabajadores de la empresa, tras probar sin éxito con los cauces oficiales. También afirma haber descubierto un fallo en Periscope que podría permitir el robo y suplantación de identidad, pero la empresa no se lo ha aceptado.
Amir tiene apenas 21 años y cuenta a HojaDeRouter.com que comenzó a cazar estos fallos en aplicaciones “porque me gustaba trabajar con ordenadores y resolver problemas”. De hecho, ya está trabajando en fundar su propia 'startup', Cyphlon, cuyo objetivo es “revolucionar”, según sus palabras, el ámbito de la ciberseguridad en su país.
Para este joven, no hay unos fallos más comunes que otros. “Debes tener un buen ojo” para detectarlos. Él tuvo que trabajar “duro” para convertirse en un 'penetration tester' ('pentester'), es decir, en un experto que realiza ataques informáticos para buscar las debilidades de un sistema y, por tanto, los caminos que permitirían acceder a este o a sus datos.
El trabajo que realiza para descubrir los agujeros “no es muy complejo”, según sus propias palabras. “Intento saber cómo funciona la aplicación y luego romperla usando esa metodología”. Aún así no es fácil encontrar un fallo. “Depende de las habilidades que poseas: si eres un novato, entonces debes aprender primero, aprender sobre arquitectura web básica, romper unos pocos ‘sites’ de manera responsable”.
Él aconseja que, al tener un poco de experiencia, se puede crear una lista de verificaciones como la que él diseñó en su momento para comprobar paso a paso lo que puede fallar o lo que no. En ese trabajo, irónicamente, se encuentra con las propias barreras, como ‘firewalls’, que las compañías implementan para protegerse y que en el caso de las grandes empresas hacen más difícil escudriñar en sus tripas.
Pasión por los retos
Para el alemán Patrik Fehrenbach, que vivió durante seis años en el País Vasco, a veces es fácil y otras veces es difícil encontrar un 'bug', y da igual que sea en una empresa grande o en otra pequeña. Al fin y al cabo, “se trata de gente cometiendo errores”.
Fehrenbach es otro veinteañero (de la quinta de los 25 años) que lidera la lista de cazadores de su país con más de 100 fallos encontrados y una tasa de aprobación por parte de las empresas del 99 %. No obstante, él asegura a HojaDeRouter.com haber descubierto unos 215, una cifra todavía algo menor que la de otros 'hackers' de la lista.
Desde la nacional Deutsche Telekom hasta el servicio de presentaciones Prezi han sido blanco de sus investigaciones; en este último encontró un fallo en el sistema de validaciones y accesos de los usuarios que le permitió ganar 1.000 dólares (unos 900 euros). Incluso la 'app' de mensajería Telegram, famosa por su seguridad, ha admitido fallos gracias a él. Otra vulnerabilidad en Tag Manager, un servicio para posicionar en Google, le aportó 5.000 dólares (unos 4.500 euros). No es la única vez que el buscador le ha gratificado.
Este estudiante de informática, que trabaja en una empresa de ciberseguridad, comenzó esta particular cacería hace tres o cuatro años. Una de las razones por las que comenzó a buscar los agujeros fue que le gustaban “los retos”: una persona joven frente a los desafíos que proponen las grandes compañías. Una vez centrado en la web que quiere investigar, se preocupa por saber cómo está escrita. “El siguiente paso es ver las características de la web, qué puedes hacer con ella”, y detectar los posibles fallos. Después, “escribo un correo para informar de qué hay que arreglar”, explica este joven. Suele recibir una respuesta en cuestión de una semana.
“‘'Hackea' para ayudar”
Encontrar un 'bug' y notificarlo puede ser un negocio muy rentable. Hay empresas que pagan grandes cantidades por ello. En Facebook, por ejemplo, y según ingenieros que han participado en el programa, la recompensa puede rondar los 15.000 dólares (unos 13.640 euros), pero también hay otras elevadas de 10.000 y 12.500 dólares (entre 9.000 y 11.000 euros). Muchas compañías tecnológicas detallan sus programas de recompensas en sus webs corporativas, donde animan a detectar esos fallos que pasaron por alto.
Amir también ha participado en estos programas. No quiere decir cuánto ha ganado (por internet circula la cifra de 150.000 dólares, unos 136.400 euros), pero sí que le parece bien que se pague por ello: “Es una buena motivación para los investigadores solo si aprenden primero. Ganar dinero es algo que caerá con el tiempo, pero aprender dura una vida”. Él dice que su verdadero orgullo no es lo que ha ganado, sino lo que ha donado: cede gran parte de las recompensas que recibe a organizaciones y proyectos.
De hecho, Amir anima a otros investigadores a seguir sus pasos: “Los niveles de dopamina se incrementan en tu cerebro cuando obtienes la satisfacción de ayudar a otros, así que ayudar a los demás te hará vivir más. Ahora en serio, es bueno ayudar a la gente de vez en cuando, así que 'hackea' para ayudar”.
--------------
Las imágenes de este artículo son propiedad, por orden de aparición, de Visualhunt, James Morris, Shahmeer Amir y Patrik Fehrenbach