Siete hackers se hicieron millonarios 'cazando' vulnerabilidades en 2019: qué son los programas de 'bug bounty' que lo hacen posible

Siete hackers se hicieron millonarios 'cazando' vulnerabilidades en 2019: qué son los programas de 'bug bounty' que lo hacen posible
Sin comentarios Facebook Twitter Flipboard E-mail

Los 'hackers' (que no "cibercriminales") y las grandes compañías tecnológicas no son dos elementos que hayan combinado siempre bien: hasta hace no mucho, si un hacker se dedicaba a investigar (recurriendo a técnicas como la ingeniería inversa o la intrusión) las vulnerabilidades de una plataforma o software y hacía llegar los resultados a la compañía desarrolladora, no era extraño que la 'buena acción' terminara siendo recompensada con una demanda legal.

Puede resultar chocante, pero es que la estrategia de 'seguridad por ocultación' (es decir, que las vulnerabilidades no son un problema mientras nadie las encuentre) sigue siendo la preferida por muchos en entornos corporativos.

Sin embargo, hace tiempo que algo se está moviendo en este ámbito, y cada vez son más los que optan por replantear la relación entre hackers y empresas: si hay hackers éticos dispuestos a compartir sus hallazgos con los desarrolladores, lo mejor es aceptar su ayuda, pues de lo contrario podrían ser cibercriminales quienes encontrasen antes las vulnerabilidades.

Y de ahí se pasó a incentivar a los hackers a hacer lo que mejor se les daba... premiándoles monetariamente para que asegurarse de que daban a las compañías la posibilidad de solventar las vulnerabilidades antes de hacerlas públicas. Dichas iniciativas se institucionalizaron con el nombre de programas de 'bug bounty' (recompensas por errores).

120.000 cazadores de errores profesionales

Ya existen, de hecho, plataformas para poner en contacto grandes compañías con consultores externos de ciberseguridad. La mayor de ellas, HackerOne (lanzada en 2012) presume de haber superado la cifra de 600.000 inscritos el año pasado... unos datos que doblan los de 2018.

Pero si algo ha crecido notablemente ha sido la inversión de las compañías: sus clientes corporativos (entre los que aparecen marcas tan reconocibles como Google, IBM, Goldman Sachs, General Motors o Dropbox) invirtieron en sus programas de 'bug bounty' un total de 40 millones de dólares, una cifra que equivale a la repartida por HackerOne en los 7 años anteriores.

En 2018 fue noticia que un hacker había recibido una recompensa de un millón de dólares por esta clase de tareas. Pero en 2019, según HackerOne, han sido 7 los que se han convertido en millonarios gracias al 'bug bounty'. Y la cifra de los que ganaron más de 100.000 dólares al año ascendió nada menos que a 50.

Y eso a pesar de que el 93% de las empresas de la lista Forbes 2000 ni siquiera han adoptado una política de divulgación de vulnerabilidades que facilite su trabajo conjunto con la comunidad de hackers. Sí que lo han adoptado, sin embargo, instituciones públicas como el Departamento de Defensa de los Estados Unidos o la Comisión Europea.

Según el Informe HackerOne 2019, el 19% de estos hackers son estadounidenses, siendo la India (10%), Rusia (8%), China (7%) y Alemania (4%) los otros países de origen más frecuentes entre estos hackers éticos. Otros dos datos relevantes:

  • El 20% de los hackers participantes en esta clase de iniciativas las consideraban su ocupación principal.

  • Sólo el 16% reconoció haber completado algún título formal en este campo, siendo el 64% restante autodidactas.

"El concepto de hacking como una profesión viable se ha convertido en una realidad: no solo hay ahora más hackers que obtienen la mayor parte (o la totalidad) de sus ingresos de dicha actividad, sino que se ganan la vida haciéndolo".

Vía | TechSpot & Computing

Imagen | Alexandre Dulaunoy

Comentarios cerrados
Inicio