Los “Cazarrecompensas 4.0” los nuevos buscadores de tesoros
Las compañías empezaron a publicar programas de recompensa para hallar fallas o bugs en sus sistemas, más conocidos como Bug Bounty, a través de plataformas como HackerOne o BugCrowd, entre otras.
Muchas empresas, más aún en la industria de la informática desde hace mucho utilizan las pruebas de infiltración, para auditar la seguridad de las aplicaciones y la red. En general, son los propios empleados los que realizan esta actividad, aunque hoy en día las empresas buscan a los nuevos cazadores de bugs.
Si bien, muchas empresas saben que debe convivir con los alientos ataques informáticos, otras aprovechan a esta modalidad debido a algún incidente o hackeo al que se vieron expuestas, como si fuera una o mantener un estado de análisis continuo a sus activos más importantes.
Desde Bug Bounty Argentina, señalan que las empresas hoy apuntan a “el modelo de seguridad colaborativa”, ya que tienen un equipo interno de ciberseguridad formado y con cierta madurez para poder lidiar con todas las vulnerabilidades reportadas.
Las empresas “luego de fijar una recompensa”, ponen a prueba la seguridad de sus servicios a través de “hackers éticos” (que no persiguen fines delictivos) desplegados por cualquier parte del mundo.
La compañía de Satya Nadella, en 2018 pagó dos millones de dólares en recompensas a quienes encontraron errores, o vulnerabilidades en la seguridad de las soluciones y servicios que ofrecían.
Los miembros de la comunidad, señalan que las empresas dan “recompensas” por el reporte de vulnerabilidades, que pueden ser o no económicas. Algunas firmas realizan pagos en dólares o a través de criptomonedas, principalmente Bitcoin o Stablecoins, como USDT. Otras como Red Bull, realizan reconocimientos con packs de latas de su bebida o millas para volar en United Airlines.
Qué hacer para ser un cazarrecompensas 4.0, o Bug Bounty
Si bien no hay una formación específica para este tipo de puesto, y cualquiera puede inscribirse “Por lo general, la formación de los Bugs Bounters está vinculada a conocimientos de Ethical Hacking y seguridad ofensiva” afirma Mario Micucci, Security Research de ESET.
Por eso, como marca el experto “gran parte de ellos vienen del mundo del PenTesting y otra gran parte de quienes gustan de participar en challenges de seguridad”
A su vez de Bug Bounty Argentina, señalan que en general hay casos donde los cazarrecompensas vienen del mundo del desarrollo y quieren comenzar a meterse en seguridad. “Muchos directamente conocieron este mundo sin tener experiencia en seguridad, ni en desarrollo. Generalmente no hay una formación académica: hay mucha gente que es autodidacta y va aprendiendo a través de cursos online, asistiendo a charlas, participando en eventos o sumándose a una comunidad como la nuestra, donde todos aprendemos”.
¿Cómo trabaja un hunter o cazarrecompensas 4.0?
Cada Hunter, tiene una modalidad diferente de trabajo, en general tienen una etapa de reconocimiento en donde se buscan todos los activos de la compañía: subdominios, API, endpoints, directorio, archivos, y demás.
Por otro lado, hay Hunters que se dedican a buscar errores en páginas web, otros en aplicaciones. Son diferentes metodologías y cada uno se especializa en una en particular.
Los ejecutivos de ESET sostienen que la única manera es “practicar y practicar”.
Lo interesante de ser un cazarrecompensas o Hunter, es que, dependiendo del tipo de la vulnerabilidad, por ejemplo, en una de impacto bajo las empresas pagan alrededor de 100 dólares, sin embargo, por una de impacto crítico, puede ser 150 mil o más.
Los expertos señalan que, de igual manera, este empleo “requiere de estar horas frente a la computadora, mucho conocimiento y concentración. Y, aun así, puede que no encuentres el bug y no te paguen dinero”.
Hay casos muy escasos, como en el del argentino que en 2019 ganó 1 millón de dólares mediante la plataforma de HackerOne, hoy el pago promedio por vulnerabilidades críticas ronda los 3000 dólares.
Micucci, de Eset, señala que establecer un “sueldo promedio es difícil”, puesto que depende de varias variables, entre ellas:
-Habilidades y experiencia que permiten participar de varios programas de análisis.
-El tipo de organización a la que se apunte.
-Las políticas que cada uno establezca en las diferentes plataformas.
De esta forma quienes tengan conocimiento técnico, curiosidad, dedicación y actualización constante, pueden aplicar a este tipo de empleos, que muchas veces pagan sueldos muy interesantes. Pero como todo empleo, requiere dedicación, formación y esfuerzo, sobre todo curiosidad.
