Quizás aun ni sabemos qué es, pues se trata de una actividad relativamente reciente, sobre todo en España, al menos formalizada y organizada como servicio bajo una marca. Y si nos suena, desde luego es en inglés: bug, bicho, y bounty,recompensa o premio; es decir, hablamos de programas que recompensan la detección de errores ofertados por las organizaciones para auditar y testar la ciberseguridad de sus aplicaciones y de su red.
De esta forma, los hackers éticos de cualquier rincón del planeta se ponen a la caza y captura de posibles fallos y vulnerabilidades de seguridad, y según sea la envergadura de lo que encuentran son gratificados económicamente. “Y si se busca, siempre te topas con algo” asegura Paula Pardo, cofundadora de CazHack (Barcelona).
Según cuenta, el origen de la denominación del bug informático fue culpa de un bicho de verdad, una polilla que allá por 1945 “se coló dentro de uno de los primeros y enormes ordenadores que surgieron, y provocó un cortocircuito al electrocutarse con el cableado y dar un error de funcionamiento”. El supercomputador era el Mark II y el incidente fue documentado y parece que ha creado escuela.
Eso sí, antes que aquí en el extranjero, primero en EEUU, con las consolidadas HackerOne y BugCrowd, y luego ya en varios países europeos, entre otrosFrancia – YesWeHack - , Bélgica y Holanda. “En España ha sido más lento por dos barreras principales: el idioma, ya que los proyectos y posibilidades de participación han surgido siempre fuera; y la limitación de presupuestos, puesto que en otros destinos suelen ser más elevados” comenta Pardo, quien lo describe comoun mundo muy enriquecedor, en su sentido literal (económico) y en lo profesional, por permitir un aprendizaje continuo.
“En un programa de bug bounty es importantísimo ponernormas muy claras desde el principio. Todo por escrito. Las condiciones dehasta dónde llegar investigando y losactivos que entran en el programa, además de su valor y sus categorías. En el primer caso porque los hackers deben juguetearconociendo bien su rango de acción para no afectar a sistemas que laempresa no quiera incluir. Y en el segundo, para que todo los problemas reportados sean deinterés y no se notifiquen nimiedades”.
El abanico es amplísimo. Desdedetectar que es posible modificar el color de los títulos de la web sin que asíse supiera hasta diagnosticar un riesgo o coladero deataques que puede suponer hasta el cierre de la empresa. Como es lógico el pagoal bug hunter va en función del peso,no siempre tan astronómico como se cree. Es proporcional al grado de criticidadde lo hallado” explica la experta -que no técnica, pues su formación no esespecífica de la ciberseguridad, ya que fueron sus estudios de RelacionesInternacionales y Seguridad y sobre todo, su círculo de amistades dedicadas aello, lo que despertó su interés y le acercó aeste ámbito-.
“El pago al bug hunter o hacker ético se establece proporcionalmente al grado de criticidad del fallo detectado”
Precisamente, uno de losatractivos de dedicarse a esta actividad es la amplitud de perfiles que admite.En contra de lo que se pueda pensar, laespecialización no se logra solo a través de una formación en ciberseguridad.Hay muchas profesiones interrelacionadas y tambiénmucho autodidacta, porque son temas que tocan varias disciplinas y tienenmuchos enfoques. Además, si algo caracteriza a las comunidades de hackerséticos es su ambiente de intercambio, todos los conocimientos se comparten y esun espacio donde la colaboración es la base, subraya.
En el caso de Paula Pardo suobjetivo es “hacer de España un país másseguro”. El “gusanillo” le entró al cursar un máster en Seguridad, pero abordadodesde un punto de vista estratégico y centradoen la geopolítica. Pues tal y como insiste: la última frontera de la guerraestá en internet.
Por otro lado, suele plantearsecomo un trabajo y unos ingresos complementarios al desempeño habitual. Este es el perfil que predomina, el de quien se acerca al bugbounty como un plus para los ratos libres.Lo que le da la oportunidad departicipar en entornos distintos al de su jornada laboral y de conocer nuevos lenguajes informáticos, otrasinfraestructuras, sistemas, etc. Tal y como reconocen la mayoría de losque se animan, es una apertura de miras que permitereciclarse y avanzar laboralmente.
En estos momentos en CazHack están terminando de cerrar sus listas de expertos y perfilando esa comunidad de caza-recompensas. “Como plantilla fija no somos más de tres, pero es que estamos saliendo del horno aún y seguimos seleccionando a las personas que se incorporan a nuestra pequeña armada”, comenta Pardo. Y es que la idea de crear esta plataforma no se remonta a más de un año atrás.
Diseñaron el planteamiento en 2019, pero luego "llegó la pandemia del Covid-19 e hizo que todo se tambaleara. Nos hizo dudar de si las empresas se interesarían y se plantearían contactarnos tras el confinamiento”. Sin embargo, el encierro parece haber hecho de trampolín, “realmente vivimos un momento tan frenético como ilusionante, porque esta crisis ha hecho tomar conciencia real de los riesgos existentes y a los que están expuestas las organizaciones. Se ha pasado de ver los incidentes de seguridad como algo ajeno y que solo les pasa a otros, a considerarlos tan cercanos que se llega a sentir temor”, opina.
Desde luego, la iniciativa ha despertado interés, incluso en dos empresas del Ibex. La demanda va por delante de la oferta, entre otras razones, porque como ella explica, cada vez hay más infraestructuras críticas en sectores tradicionales que dependen de ordenadores antiguos y poco modernizados; una diana para los ciberdelincuentes. De ahí que el rol del bug hunter se cotize cada vez más.
"Nuestro propósito al crear esta plataforma es hacer de España un lugar más seguro”
Las formas de articular este servicio de rastreo de vulnerabilidades son dos. La propia empresa cuenta con un programa privado de bug bounty, que son las menos, o bien recurre a un intermediario, como CazHack, que presta el servicio de ‘pirateo legal’ mediante su equipo de hacking ético. “El único propósito es informar a la empresa de aquellos puntos débiles que puede mejorar en materia de seguridad. En suma, consiste en reforzar la reputación, curar males y evitar que estos pasen a mayores. Aparte de proporcionar protección a la empresa, también se la préstamos al profesional. Desde dentro, a veces, no se comparte ni entiende su visión. Tenemos mucho papel de árbitro”, indica la cofundadora de CazHack.
Parece evidente que la fórmula vaa ir a más y que la historia está aún porescribir. Julio se ha estrenado con la noticia de que Telefónica Tech va alanzar su propia plataforma de detección de brechas de seguridad. SeráElevenPaths, su empresa especializada en ciberseguridad, la que pondrá enmarcha su oferta privada de bug bounty.Un anuncio que para Paula Pardo “es unagrata sorpresa y una buenísima noticia, que nos confirma que vamos por buencamino y que existe una necesidad real de lo que proponemos”.
Tras este boom, espera que llegueel sosiego y el momento en que todo se ponga en su sitio tanto para CazHackcomo para el sector en general. Esta apasionada de “la ciberguerra y elciberactivismo” cree que aún “hay muchamezcla de realidad y ficción acerca del tema -por mucha peli de Hollywood vistasobre ataques y virus-. Aunque también es verdad, que por mucho que, en ocasiones, hayasospechas de errores supuestamente infundados,si se hurga, salen”.