Si bien hace poco más de un año ya vimos lo bien que pueden pagar los programas de bug bounty, recientemente se conoció la historia de un adolescente argentino que confirma cómo la búsqueda de fallos de seguridad en el código puede resultar una actividad muy lucrativa.
Para aquellos que no están familiarizados con el término, bug bounty se refiere a programas de recompensas mediante el cual las compañías ofrecen compensaciones económicas y reconocimiento a quienes logren encontrar fallas de seguridad en un sistema; ya sea un sitio web, un programa informático u otro.
Santiago López, un joven de 19 años de Buenos Aires, se convirtió en la primera persona en ganar más de 1 millón de dólares en recompensas a través de la plataforma líder en promocionar programas de bug bounty: HackerOne.
“Estoy increíblemente orgulloso de ver que mi trabajo es reconocido y valorado. No solo por el dinero, sino también porque este logro representa que la información de las compañías y las personas están más seguras que antes, y eso es increíble", dice López al sitio HackerOne.
Santiago también cuenta que es "completamente autodidacta" y que asumió el oficio y se unió a HackerOne recién en 2015. No fue hasta el año siguiente cuando el adolescente, que trabajaba con el alias 'try_to_hack', obtuvo su primer pago: USD 50 por una falla de software que hubiera permitido realizar un tipo de ataques conocido como “falsificación de petición en sitios cruzados” o por su nombre en inglés Cross-Site Request Forgery (CSRF).
En este tiempo, Santiago identificó más de 1,670 vulnerabilidades de código en servicios de compañías como Verizon, Twitter y WordPress. Esto incluye la identificación de un fallo que podría habilitar ataques de Server Side Request Forgery (SSRF), el cual le otorgó a López la recompensa en efectivo más grande: USD 9,000.
Lo que en un principio era un esfuerzo que realizaba después de clase pasó a convertirse en un trabajo que ocupaba entre 6 y 7 horas diarias de su tiempo. Y además, paga más que lo que gana un ingeniero de software típico en Buenos Aires.
“Lo que más me interesa cuando busco bugs es encontrar la mayor cantidad que pueda en un corto período de tiempo y tratar de obtener recompensas por ellos. Sé que dicen que preferible la calidad antes que la cantidad, pero lo que me gusta es la cantidad”, dijo Santiago.
Días después de alcanzar la cifra histórica, López fue unido al club bug bounty del millón de dólares por Mark Litchfield, un nombre conocido en la industria. De hecho, Litchfield tuvo un poco de ventaja sobre López, que para el 2016 ya había habiendo alcanzado la suma de USD 500,000 reportando fallos.
2018: un año de muchas recompensas
Más allá de anunciar la hazaña de López, HackerOne también lanzó el Hacker Report 2019. La plataforma, que actúa como una especie de intermediario entre empresas y hackers éticos, señala que los hackers de sombrero blanco ganaron más de USD 19 millones en recompensas solo en 2018, lo que equivale a los USD 24 millones que obtuvieron los miembros de HackerOne en los cinco años anteriores.
De hecho, cada vez más y más personas se unen a la comunidad. El número de miembros de HackerOne superó los 300,000, cifra que representa el doble que hace un año atrás. Los cazar recompensas de los Estados Unidos y la India representan casi un tercio de los miembros.
Nueve de cada 10 miembros de HackerOne son menores de 35 años, y casi uno de cada dos tiene entre 18 y 24 años. Al igual que López, la mayoría (81 por ciento) son autodidactas, mientras que solo el 6 por ciento ha completado una clase formal o una certificación.