CazHack, el único ejemplo español de bug bounty

“Cazar los errores cibernéticos nos convierte en el control de calidad de vulnerabilidades de las empresas”

49
CazHack

Quizás aun ni sabemos qué es, pues se trata de una actividad relativamente reciente, sobre todo en España, al menos formalizada y organizada como servicio bajo una marca. Y si nos suena, desde luego es en inglés: bug, bicho, y bounty,recompensa o premio; es decir, hablamos de programas que recompensan la detección de errores ofertados por las organizaciones para auditar y testar la ciberseguridad de sus aplicaciones y de su red.

De esta forma, los hackers éticos de cualquier rincón del planeta se ponen a la caza y captura de posibles fallos y vulnerabilidades de seguridad, y según sea la envergadura de lo que encuentran son gratificados económicamente. “Y si se busca, siempre te topas con algo” asegura Paula Pardo, cofundadora de CazHack (Barcelona).

Según cuenta, el origen de la denominación del bug informático fue culpa de un bicho de verdad, una polilla que allá por 1945 “se coló dentro de uno de los primeros y enormes ordenadores que surgieron, y provocó un cortocircuito al electrocutarse con el cableado y dar un error de funcionamiento”. El supercomputador era el Mark II y el incidente fue documentado y parece que ha creado escuela.

Eso sí, antes que aquí en el extranjero, primero en EEUU, con las consolidadas HackerOne y BugCrowd, y luego ya en varios países europeos, entre otros Francia – YesWeHack – , Bélgica y Holanda. “En España ha sido más lento por dos barreras principales: el idioma, ya que los proyectos y posibilidades de participación han surgido siempre fuera; y  la limitación de presupuestos, puesto que en otros destinos suelen ser más elevados” comenta Pardo, quien lo describe comoun mundo muy enriquecedor, en su sentido literal (económico) y en lo profesional, por permitir un aprendizaje continuo.

“En un programa de bug bounty es importantísimo poner normas muy claras desde el principio. Todo por escrito. Las condiciones de hasta dónde llegar investigando y los activos que entran en el programa, además de su valor y sus categorías. En el primer caso porque los hackers deben juguetear conociendo bien su rango de acción para no afectar a sistemas que la empresa no quiera incluir. Y en el segundo, para que todo los problemas reportados sean de interés y no se notifiquen nimiedades”.

El abanico es amplísimo. Desde detectar que es posible modificar el color de los títulos de la web sin que así se supiera hasta diagnosticar un riesgo o coladero de ataques que puede suponer hasta el cierre de la empresa. Como es lógico el pago al bug hunter va en función del peso, no siempre tan astronómico como se cree. Es proporcional al grado de criticidad de lo hallado” explica la experta -que no técnica, pues su formación no es específica de la ciberseguridad, ya que fueron sus estudios de Relaciones Internacionales y Seguridad y sobre todo, su círculo de amistades dedicadas a ello, lo que despertó su interés y le acercó a este ámbito-.

“El pago al bug hunter o hacker ético se establece proporcionalmente al grado de criticidad del fallo detectado”

Precisamente, uno de los atractivos de dedicarse a esta actividad es la amplitud de perfiles que admite. En contra de lo que se pueda pensar, la especialización no se logra solo a través de una formación en ciberseguridad. Hay muchas profesiones interrelacionadas y también mucho autodidacta, porque son temas que tocan varias disciplinas y tienen muchos enfoques. Además, si algo caracteriza a las comunidades de hackers éticos es su ambiente de intercambio, todos los conocimientos se comparten y es un espacio donde la colaboración es la base, subraya.

En el caso de Paula Pardo su objetivo es “hacer de España un país más seguro”. El “gusanillo” le entró al cursar un máster en Seguridad, pero abordado desde un punto de vista estratégico y centrado en la geopolítica. Pues tal y como insiste: la última frontera de la guerra está en internet.

Por otro lado, suele plantearse como un trabajo y unos ingresos complementarios al desempeño habitual. Este es el perfil que predomina, el de quien se acerca al bug bounty como un plus para los ratos libres. Lo que le da la  oportunidad de participar en entornos distintos al de su jornada laboral y de conocer nuevos lenguajes informáticos, otras infraestructuras, sistemas, etc. Tal y como reconocen la mayoría de los que se animan, es una apertura de miras que permite reciclarse y avanzar laboralmente.

En estos momentos en CazHack están terminando de cerrar sus listas de expertos y perfilando esa comunidad de caza-recompensas. “Como plantilla fija no somos más de tres, pero es que estamos saliendo del horno aún y seguimos seleccionando a las personas que se incorporan a nuestra pequeña armada”, comenta Pardo. Y es que la idea de crear esta plataforma no se remonta a más de un año atrás.

Diseñaron el planteamiento en 2019, pero luego “llegó la pandemia del Covid-19 e hizo que todo se tambaleara. Nos hizo dudar de si las empresas se interesarían y se plantearían contactarnos tras el confinamiento”. Sin embargo, el encierro parece haber hecho de trampolín, “realmente vivimos un momento tan frenético como ilusionante, porque esta crisis ha hecho tomar conciencia real de los riesgos existentes y a los que están expuestas las organizaciones. Se ha pasado de ver los incidentes de seguridad como algo ajeno y que solo les pasa a otros, a considerarlos tan cercanos que se llega a sentir temor”, opina.

Desde luego, la iniciativa ha despertado interés, incluso en dos empresas del Ibex. La demanda va por delante de la oferta, entre otras razones, porque como ella explica, cada vez hay más infraestructuras críticas en sectores tradicionales que dependen de ordenadores antiguos y poco modernizados; una diana para los ciberdelincuentes. De ahí que el rol del bug hunter se cotize cada vez más.

“Nuestro propósito al crear esta plataforma es hacer de España un lugar más seguro”

Las formas de articular este servicio de rastreo de vulnerabilidades son dos. La propia empresa cuenta con un programa privado de bug bounty, que son las menos, o bien recurre a un intermediario, como CazHack, que presta el servicio de ‘pirateo legal’ mediante su equipo de hacking ético. “El único propósito es informar a la empresa de aquellos puntos débiles que puede mejorar en materia de seguridad. En suma, consiste en reforzar la reputación, curar males y evitar que estos pasen a mayores. Aparte de proporcionar protección a la empresa, también se la préstamos al profesional. Desde dentro, a veces, no se comparte ni entiende su visión. Tenemos mucho papel de árbitro”, indica la cofundadora de CazHack.

Parece evidente que la fórmula va a ir a más y que la historia está aún por escribir. Julio se ha estrenado con la noticia de que Telefónica Tech va a lanzar su propia plataforma de detección de brechas de seguridad. Será ElevenPaths, su empresa especializada en ciberseguridad, la que pondrá en marcha su oferta privada de bug bounty. Un anuncio que para Paula Pardo “es una grata sorpresa y una buenísima noticia, que nos confirma que vamos por buen camino y que existe una necesidad real de lo que proponemos”.

Tras este boom, espera que llegue el sosiego y el momento en que todo se ponga en su sitio tanto para CazHack como para el sector en general. Esta apasionada de “la ciberguerra y el ciberactivismo” cree que aún “hay mucha mezcla de realidad y ficción acerca del tema -por mucha peli de Hollywood vista sobre ataques y virus-. Aunque también es verdad, que por mucho que, en ocasiones, haya sospechas de errores supuestamente infundados, si se hurga, salen”.