El sector de la ciberseguridad es amplio y muy heterogéneo, un conjunto de las más diversas especializaciones y habilidades. Dentro de este mundo de profesiones y tareas, además de las más conocidas como penetration test, monitorización y awareness, hay algunas que son un poco menos populares pero igual de importantes. Entre ellas se encuentra el bug hunting.
Traducible como ‘caza de fallos’, es aquella actividad que analiza software y hardware en busca de vulnerabilidades que podrían ser explotadas de forma maliciosa por los ciberdelincuentes. Según el tipo de vulnerabilidad detectada, la tecnología en la que está presente y su fabricante, el cazador recibe una remuneración más o menos considerable.
Esto crea un círculo virtuoso en el que hay profesionales especializados que pasan sus días analizando código, dispositivos y tratando de encontrar la confirmación de sus intuiciones. Y, en caso de éxito, reciben una fuerte compensación monetaria. Podríamos decir que son figuras a medio camino entre los testers y unos ‘cazarrecompensas’ informáticos.
En el mejor de los casos, la recompensa proviene de quienes tienen interés en solucionar una determinada vulnerabilidad, aunque las cosas no siempre son así. Si nos limitamos al bug hunting ético, hay varias opciones de carrera. La más sencilla es inscribirse en programas específicos y empezar a trabajar de forma autónoma. Sin embargo, el nivel de competencia requerido es muy alto.
Estos programas atraen a algunos de los mejores talentos del mercado. El riesgo es que estos se adelanten en la búsqueda de las vulnerabilidades con mayor retribución. De hecho, quienes organizan las campañas de bug hunting elaboran una especie de tarifario que varía mucho según el nivel de fallo encontrado.
Las grandes campañas de bug hunting
Por ejemplo, Apple Security Bounty es una de las mejor pagadas, con recompensas que alcanzan el millón de euros. Google es menos generoso, quizás porque ofrece muchos más servicios que el gigante de Cupertino. Como resultado, el número potencial de vulnerabilidades es mayor. Las recompensas pueden llegar a los 30 000 €, aunque en algunos casos son superiores. Por su parte, Microsoft compite por los mejores cazadores con su rival Apple y las recompensas son similares.
Existen plataformas que actúan como intermediarias entre quienes proponen las campañas y los bug hunters. La más famosa es HackerOne, un excelente campo de entrenamiento para crecer, desafiarse y apuntar a vulnerabilidades cada vez más críticas. Sin embargo, no es fácil. Requiere meses de duro trabajo y habilidades de alto nivel. Por eso, antes de dedicarse al bug hunting es importante tener claro si es una verdadera pasión.
En realidad, las habilidades para entrar en este mundo parten de una base bastante clásica para el sector de la ciberseguridad. Un profundo conocimiento de Linux es requisito imprescindible. Así como la arquitectura de las redes, con especial referencia a los protocolos de las distintas capas del modelo de interconexión de sistemas abiertos (OSI), además de experiencia en web y aplicaciones.
También es recomendable saber programar a buen nivel. Las opiniones sobre qué lenguaje es el mejor son contradictorias, pero para los que empiezan, el consejo es apostar por Python y Go. Tienen una semántica sencilla, gran cantidad de bibliotecas y cierta vocación por el hacking ético. Para aquellos con más fuerza de voluntad, Perl, C y Assembly representan un plus que compensa el esfuerzo.
Formación y carrera
El siguiente paso es enfrentarse al arte de cazar vulnerabilidades. Hay muchos libros que explican las diferentes técnicas y, por supuesto, no faltan los canales de YouTube dedicados. Uno de los más completos es el de Farah Hawa. Lo cierto es que el bug hunting, incluso más que otras especialidades de ciberseguridad, requiere mucha práctica.
Si bien los conocimientos básicos deben ser sólidos y comprenderse en detalle, también es cierto que la búsqueda de fallos de sistema requiere experimentación, ingenio y paciencia. Porque sucede muy a menudo que, aunque se inviertan muchas horas en perseguir una vulnerabilidad, luego resulta no serlo o ya ha sido descubierta por otro usuario.
Por esta razón, es fundamental aprender con rapidez a llevar a cabo valoraciones económicas. A menudo, de hecho, es mejor apostar por la búsqueda de muchas pequeñas vulnerabilidades en lugar de una sola y millonaria. Mientras tanto, se va ganando experiencia.
¿Cuáles son las cifras a las que de verdad puede aspirar un cazador? No faltan expertos dispuestos a compartir sus números. Uno de los más famosos es Anton ‘Skavans’ Subbotin, quien asegura haber ganado 558 000 dólares (unos 578 000 euros) en los últimos tres años de trabajo. Sin embargo, también aclara que es mejor no entrar en este sector solo por mera ambición económica. Para tener éxito, tanto en el bug hunting como en cualquier otra profesión, son necesarias la pasión y la diversión.
Por Alberto Barbieri
Imágenes | Tengyart/Unsplash, Kevin Ku/Unsplash, ThisisEngineering RAEng/Unsplash
