De Apple al Pentágono: los millones que van a parar a los bolsillos de los hackers
Cuando cumplió 18 años, Nathaniel Wakelam se convirtió en cazador de recompensas. Ahora tiene 21 años y lo ha convertido en un trabajo a tiempo completo. En lo que va de mes ha ganado 21.150 dólares. Los contó durante nuestra conversación telefónica: “400, más 400, más 300, más 100, más 1.000, más 3.000, más 4.000...”.
Las ganancias de Wakelam varían considerablemente todos los meses. Sin embargo, afirma que en un año puede sacarse unos 250.000 dólares sin problema, y trabajando desde su casa en Melbourne o desde una cafetería del barrio.
Ahorra gran parte de lo que gana y también se lo gasta en proyectos filantrópicos. Dirige una fundación que busca mentores para los piratas informáticos más jóvenes. El año pasado, con el dinero que ganó en cuestión de 48 horas, financió un viaje para seis personas a una conferencia en Nueva Zelanda. “Si eres capaz de ganarte la vida con un trabajo así y con tanta facilidad, tienes la obligación de ayudar a las personas de tu entorno”, afirma.
Wakelam pertenece a la generación de los llamados hackers “de guante blanco”. A diferencia de los piratas informáticos que utilizan sus conocimientos para cometer un delito o destruir, los hackers de guante blanco se ganan la vida encontrando grietas en las corazas digitales de las grandes compañías. A cambio de encontrar estos fallos en el sistema, reciben una generosa recompensa.
Apple también
Las compañías están dispuestas a pagar lo que haga falta. Este mes, Apple se unió a Facebook, Microsoft, Adobe, Tesla, Yahoo y Google y se ha convertido en la última compañía tecnológica con un programa de cazadores de recompensas. Les ofrece hasta 200.000 dólares si detectan los puntos vulnerables de su sistema de seguridad informática.
Las empresas privadas no son las únicas que han recurrido a este sistema. En marzo, el Departamento de Defensa de Estados Unidos impulsó un programa piloto que lleva el nombre de “piratea al Pentágono”. Un hacker fue capaz de detectar la primera grieta a los quince minutos de su lanzamiento. En total, participaron 58 piratas informáticos y encontraron 134 puntos vulnerables en solo tres semanas. El Departamento de Defensa desembolsó más de 70.000 dólares.
David Dworken fue uno de los que obtuvo una recompensa. Creció en el estado de Virginia, en las afueras de Washington, terminó el instituto en junio y cuando el programa del Pentágono finalizó, el secretario de Defensa, Ash Carter, lo invitó a visitar la emblemática sede. Dworken encontró seis puntos vulnerables en el primer día del programa piloto. Los detectó fuera del horario de clases.
Dworken consiguió burlar el sistema de seguridad de la web de su escuela a los 16 años. Dos años mas tarde ya cazaba recompensas; unos 10.000 dólares de Uber y 1,3 millones de millas aéreas de United Airlines. Explica que ha ahorrado parte de lo ganado pero que también ha mejorado su equipo informático.
Facebook fue uno de los primeros en pagar recompensas. Lanzó su programa en 2011 y, según un post publicado en el blog de la empresa el pasado febrero, en 2015 recibió más de 13.000 solicitudes de expertos que querían hacer este trabajo. Desde que lanzó el programa, ha dado más de 4,3 millones de dólares a unos 800 cazadores de recompensas de 127 países diferentes. En 2015 desembolsó un millón de dólares.
Recompensa a un niño de 10 años
En mayo, Facebook dio una recompensa de 10.000 dólares a un escolar finlandés de 10 años que encontró una grieta en el código de Instagram.
Se desconoce el tamaño del mercado para estos detectores de fallos informáticos ya que existen infinidad de programas privados y muchas empresas prefieren no dar información. Como muchas otras compañías, Facebook contrata a una empresa que es la que gestiona su programa. La empresa se llama Bugcrowd (multitud de fallos) y es la que se encarga de pagar a los cazadores de recompensas. Estas empresas se comportan como agentes.
Bugcrowd gestiona 286 programas y desde 2013 ha tramitado pagos que ascienden a un total de 2 millones de dólares por la detección de más de 50.000 fallos de seguridad. Otra compañía, Exodus Intelligence, anunció recientemente un paquete de recompensas por un valor total de 500.000 dólares para aquellos que consigan burlar los sistemas de seguridad informática de Apple. Zerodium, una agencia que se ha especializado en lo que llama “gestas del día cero” ofreció en 2015 un millón de dólares al que consiguiera atacar el sistema operativo de Apple.
HackerOne es otra de las grandes agencias y participó en la organización del programa “piratea al Pentágono”. En la actualidad gestiona más de 550 programas. El portavoz de la compañía indica que tienen una lista con decenas de miles de expertos que aspiran a convertirse en cazadores de recompensas.
“Los hackers son curiosos por naturaleza” explica Alex Rice, que en el pasado supervisaba la seguridad de los productos de Facebook y ahora es uno de los fundadores y el director de tecnología de HackerOne. Afirma que, a pesar de la mala imagen que les ha dado Hollywood, la mayoría de expertos en seguridad informática se negaría a utilizar sus conocimientos para cometer un delito. “Nadie pregunta a un cerrajero qué opinión tiene de los ladrones”, señala.
“Aunque nuestra percepción es que los hackers tienen conocimientos que están al alcance de unos pocos, lo cierto es que es bastante fácil derribar las barreras de protección informática y si le preguntas a un ingeniero como lo haría y le das un incentivo para que lo haga, encontrará la manera de hacerlo”.
En el caso de los programas impulsados por HackerOne, en el 77% de los casos los hackers fueron capaces de encontrar fallos en el sistema en las primeras 24 horas del lanzamiento. Ni un solo programa ha logrado sobrevivir más de una semana sin que algún cazador de recompensas haya encontrado algún punto vulnerable.
“Encontrar la grieta es muy emocionante porque te conviertes en la primera persona del mundo que la ha descubierto. Te hace sentir bien haber entrado en un sitio donde nadie ha estado jamás”, reconoce Francisco Correa, un cazador de recompensas de 30 años que además trabaja para HackerOne.
Correa, que tiene un bonito apartamento en Chile, situado en primera línea del mar, explica que tiene red de fibra óptica. Empezó a trabajar en el programa de cazadores de recompensas de Google cuatro años atrás y muy pronto encontró brechas en el sistema de seguridad de Adobe y Microsoft. “Mi comportamiento en la escuela nunca fue normal y de hecho me expulsaron de seis colegios distintos. Nunca se me dio bien obedecer”, reconoce.
Wakelam afirma que lo que realmente le motiva de este trabajo es ser capaz de solucionar problemas. “Me gusta mucho lograr entrar en el sistema de las grandes redes”, afirma: “No me importa tener que esforzarme durante un día entero para conseguirlo”. De hecho, es lo que ha hecho en las 24 horas anteriores a su conversación con The Guardian y le ha reportado unos beneficios de 3.000 dólares.
“Lo puedo hacer en mi tiempo libre”, explica “no tengo jefes. Puedo acostarme a las seis de la mañana y hacer lo que me apetezca siempre y cuando sea capaz de mostrarles sus grietas cuando a mí me conviene”.
Traducción de Emma Reverter