De profesión, cazador de 'bugs'

Señalan las rendijas por las que podrían colarse los ciberdelincuentes

Por mucho mimo y dedicación que los programadores de webs, sistemas operativos, programas o apps empleen en crear sistemas sin errores, siempre se les puede pasar por alto algún detalle que, sin quererlo, ponga en entredicho su buen funcionamiento o comprometa la seguridad de los usuarios.

Estos 'agujeros' son más frecuentes de lo que imaginamos y, de no ser detectados y 'tapados' a tiempo, abren la puerta inevitablemente a los hackers, atentos en todo momento a los lapsus de programación que pueden reportarles grandes beneficios.

Pero no todos están a la caza de fallos para obrar de mala fe. Muchos expertos informáticos dedican su tiempo a la búsqueda de vulnerabilidades con el objetivo de informar sobre las que encuentren a la compañía responsable para que que pueda solventarlas antes de que algún ciberdelincuente, con peores intenciones que las suyas, se aproveche de las circunstancias. Eso sí, no lo hacen por amor al arte: a cambio reciben suculentas compensaciones económicas.

Hasta 100.000 dólares por vulnerabilidad

Los 'cazadores de bugs' (esto es, fallos de programación) son una figura nacida al calor del mundo virtual que actúan como cazarrecompensas 2.0. Las tecnológicassaben que es mejor tener cerca al 'enemigo' que enfrentarse a él y por eso muchas lanzan cada año programas que remuneran las proezas de personas ajenas a su plantilla que encuentran errores que han pasado desapercibidos al personal de la propia compañía.

Se trata de un 'oficio' que cualquiera con unos conocimientos sólidos del funcionamiento de la Red puede desempeñar, como ha demostrado esta misma semana un niño de apenas 10 años que ha ingresado en este selecto club tras detectar un fallo en Instagram.

La pionera en estas lides fue Netscape Communications que comenzó a ofrecer ese tipo retribuciones en la década de los noventa y se trata de un arma tan efectiva contra los ciberataques que no sólo las empresas, sino algunas de las instituciones más importantes del mundo, como el mismísimo Pentágono, han recurrido a este tipo de medidas para reforzar su seguridad.

La cuantía de esos `premios' puede llegar hasta los 100.000 dólares (unos 87.700 euros), cantidad máxima con la que gratifica actualmente Microsoft a estos hackers y la misma que Google ha fijado como pago para los que detecten algún 'agujero' grave en la seguridad de su navegador Chrome.

Eso sí, los hay menos generosos: Uber desembolsa un máximo de 10.000 dólares por fallo, Mozilla entre 3.000 y 10.000 dólares y Facebook gastó una media de 1.780 dólares por cada error detectado en 2015. Generalmente, a mayor gravedad del 'bug' detectado, mayor recompensa.

Aunque pueda resultar contradictorio teniendo en cuenta el gran coste que supone para las empresas mantener estos programas (a Google le salió por unos 2,8 millones de dólares el año pasado y a Facebook, por 936.000), un estudio de la Universidad de California ha demostrado que se trata de una opción más asequible que la contratación de consultores externos o las revisiones periódicas automáticas.

Se abre la veda para las star-ups

Ahora bien, a ciertas firmas aún les cuesta tener un concepto positivo de estoshackers desconocidos y más aún confiar en que tendrán la bondad de comunicarles las vulnerabilidades que encuentren en lugar de sacar provecho de ellas.

Estas dudas han motivado la creación de decenas de start-up cuyo cometido es formar escuadrones de expertos en bugs que ponen a disposición de las compañías que contraten sus servicios para rastrear sus sistemas o productos en busca de los temidos 'agujeros'.

En este apetecible nicho de mercado se mueven empresas como HackerOne (que cuenta con clientes de la talla de Twitter o Yahoo) o BugCrowd, capaces de obtener ganancias millonarias en apenas unos meses.


Fuente: Expansión