En la industria informática, se utilizan desde hace larga data las "pruebas de penetración" para auditar la seguridad de las aplicaciones y la red en muchas corporaciones.
En general, los propios empleados son los que realizan este tipo de actividades. Pero con mayor frecuencia, las compañías comenzaron a publicar programas de recompensa para hallar fallas o bugs en sus sistemas, más conocidos como Bug Bounty, a través de plataformas como HackerOne o BugCrowd, entre otras.
Si bien muchas empresas nacen sabiendo que tienen que convivir con los ataques informáticos, otras aprovechan a esta modalidad debido a algún incidente o hackeo al que se vieron expuestas.
"Acuden a esto como una forma de inversión o mantener un estado de análisis continuo a sus activos más importantes", explican a iProUP desde la comunidad Bug Bounty Argentina.
Además, agregan que "el modelo de 'seguridad colaborativa' es a lo que apuntan las empresas que ya tienen un equipo interno de ciberseguridad formado y con cierta madurez para poder lidiar con todas las vulnerabilidades reportadas".
Lo que hacen las compañías, luego de fijar "una recompensa", es poner a prueba a prueba la seguridad de sus servicios a través de "hackers éticos" (aquellos que no persiguen fines delitivos) desplegados por cualquier parte del mundo.
En el último tiempo empresas como Mozilla, Facebook, Yahoo, Google, Reddit, Square, Netflix y Microsoft lanzaron este tipo de programas. En 2018, por ejemplo, la compañía liderada por Satya Nadella pagó más de dos millones de dólares en recompensas a quienes encontraron errores o agujeros de seguridad en sus soluciones y servicios.
Según los miembros de la comunidad, se trata de un proceso en el cual las empresas dan "recompensas" por reportar vulnerabilidades, que pueden ser económicas:
Si bien cualquiera puede inscribirse y participar de estos programas de Bug Bounty, ya sea como un hobby o una actividad lucrativa, pues no hay una educación determinada para este tipo de perfiles.
"Por lo general, la formación de los BugsBounters está vinculada a conocimientos de Ethical Hacking y seguridad ofensiva", afirma a iProUP Mario Micucci, Security Researcher de ESET.
Por ello, remarca el experto, "una gran parte de ellos vienen del mundo del PenTesting y otra gran parte de quienes gustan de participar en challenges de seguridad".
Por su parte, L34r00t, uno de los fundadores de la comunidad Bug Bounty Argentina, agrega que también existen casos en los que los cazarecompensas vienen del mundo del desarrollo y quieren comenzar a meterse en seguridad.
"Muchos otros directamente conocieron este mundo sin tener experiencia en seguridad ni en desarrollo. Generalmente, no hay una formación académica: hay mucha gente que es autodidacta y va aprendiendo a través de cursos online, asistiendo a charlas, participando en eventos o sumándose a una comunidad como la nuestra, en donde entre todos aprendemos".
De acuerdo con L34r00t, la modalidad de trabajo depende de cada hunter. "Generalmente, comienza con una etapa de reconocimiento en donde se buscan todos los activos de la compañía: subdominios, API, endpoints, directorios, archivos, etcétera", señala.
Además, indica que "hay hunters que buscan vulnerabilidades en páginas web, mientras que otros lo hacen en aplicaciones móviles, por ejemplo. Cada uno tiene su propia metodología. De hecho, hay algunos que se especializan en una en particular y las buscan en diferentes empresas".
Por su parte, el ejecutivo de ESET remarca que estos expertos tienen un mantra: "Practicar, practicar y practicar".
"El camino para descubrir vulnerabilidades implica una especie de aventura con una meta definida: encontrar y explotarlas. Como en los videojuegos, se requiere de diversas habilidades que exigen mucha práctica para ser precisos y destacarse del resto", completa.
En tanto, L34r00t resalta que "como en toda profesión, primero que nada se debe contar con muchas ganas de aprender: hay un montón de información en Internet, diferentes canales en Youtube y Twitch, grupos en Telegram, writeups en plataformas como medium.com, cuentas en Twitter o asistiendo a diferentes eventos".
"Por ejemplo, nosotros armamos la comunidad de Bug Bounty Argentina, que nació como grupo de Telegram, y ahora también tenemos nuestro propio evento presencial: la Meet4shell. Además, contamos con un espacio dentro de una de las conferencias más grandes de Latinoamérica que se realiza en Argentina todos los años: la EkoParty", añade.
Bug Bounty Argentina nació en 2019 para compartir conocimiento y ayudarse entre todos los integrantes del grupo. Hoy utilizan principalmente plataformas como Hackerone, Bugcrowd e Intigriti, pero también se pueden reportar directamente en programas propios como Google, Apple y Microsoft.
Los principales programas elegidos dentro de la comunidad suelen ser: Mercado Libre, Paypal, Yahoo, AT&T, BMW, Toyota, Departamento de defensa de EEUU, Red Bull y United Airlines, entre otros.
Según explican los miembros, en los programas se reportan todo tipo de vulnerabilidades: cross-site scripting, inyecciones SQL, información sensible expuesta que permita el escalamiento dentro de una plataforma, ejecución de código remoto, etc.
"Se puede encontrar todo tipo de vulnerabilidad, toda va a depender del tipo de programa que se esté analizando y tecnología que utilice. Por otro lado, también sucede que los hunters suelen dedicarse a buscar la misma vulnerabilidad en diferentes programas", señala cuenta L34r00t.
Como ejemplos, el experto resalta que hay quienes "se dedican a Subdomain TakeOver y la buscan en todos los programas en los que participan. En mi caso, además de esa, he reportado divulgación de información sensible, credenciales por defecto y acceso a código fuente", completa.
Para conseguir trabajo, hay que registrarse en los programas de recompensa (BugBounty) que están disponibles a través de plataformas como HackerOne y BugCrowd.
"En cada plataforma se dispone de toda la información necesaria para comenzar: se puede ver qué empresas están adheridas, cuáles son las políticas sobre recompensas de vulnerabilidades, remuneración por tipo de hallazgo y muchos otros datos", detalla Micucci.
L34r00t agrega que "por cada vulnerabilidad válida que reporten los bug bounty hunters no solo reciben una compensación económica, sino que se les da un agradecimiento (hall of fame o badge), que suele ser muy valorado a la hora de presentar un currículum. Las empresas tienen en cuenta la experiencia comprobada con este tipo de plataformas".
Ante la pregunta de si se puede vivir trabajando de esto, la respuesta de la comunidad es "depende".
"Es como que se pregunte si se puede vivir del fútbol. Variará según cuánta experiencia tenga, horas le dedique, conocimiento posea. Hay hunters que se dedican full time, pero es cansador y estresante. Por momentos, se le dedican muchas horas y si no encontrás un bug, no cobrás nada", plantean.
En sobre cuánto se puede llegar a ganar, funciona de la misma manea. "Depende de cuánto tiempo se le dedique". Cada empresa cuenta con su Bounty Table y paga diferentes valores por cada falla.
"No es lo mismo una vulnerabilidad baja que una crítica. Te pueden pagar 100 dólares por una de impacto bajo hasta 150.000 dólares (o más) por una de impacto crítico. Pero no cualquiera saca una vulnerabilidad crítica de 150.000 dólares", aclara.
Además, destaca que "no todos son Messi. No hay una fórmula mágica para esto. No es algo fácil ni simple. Se requiere de mucho conocimiento, concentración, horas frente a la computadora. Así y todo, puede ser que no encuentres el bug y no cobrés nada. ¿Hay bugs que se pagan bien? Sí, pero no todos los encuentran".
Si bien hubo casos como el de un joven argentino que en el año 2019 ganó un millón de dólares mediante la plataforma HackerOne, el pago promedio para vulnerabilidades críticas en los últimos años ronda los 3.000 dólares.
Micucci, de Eset, señala que es "difícil establecer un sueldo promedio puesto que depende de diversas variables", entre las cuales destaca:
De esta forma, quienes tengan el conocimiento técnico, dedicación, curiosidad y actualización continua pueden hacerse de un botín que muchas veces paga miles de dólares.