D. Álvarez / ICAL
Durante la semana, el berciano Pablo García ejerce como director financiero en Wayra, el fondo de inversión en ‘startups’ de Telefónica, un puesto que ocupa desde el año pasado. Pero los fines de semana, como si de una identidad secreta se tratase, se sumerge en plataformas como HackerOne, Bugcrowd, Intigriti o YesWeHack, donde la comunidad de los denominados ‘hackers éticos’ trabajan para detectar los fallos en materia de ciberseguridad de grandes multinacionales como Google, Apple, Microsoft, Netflix o Amazon. En su libro ‘Bug Bounty. De profesión cazarrecompensas’, Pablo relata algunos de los secretos de esta industria desconocida para el gran público.
“La afición viene de familia, mi padre estudió informática y también es un gran apasionado de este mundo”, reconoce Pablo, que recuerda como durante su infancia, la casa familiar en el municipio de Toral de los Vados “siempre estaba llena de ordenadores estropeados de gente que le pedía ayuda a mi padre”. “He crecido con un ordenador entre las manos desde el primer día y creo que eso ha sido diferencial porque en mi generación no era tan común tener acceso a un PC y a internet desde tan pronto”, explica. Con sólo 10 años, sintió su “primer subidón de adrenalina hacker” al desbloquear el contenido extra de un CD con juegos educativos para aprender inglés. “Descubrí que en la carpeta donde se instalaba el programa había varios archivos de configuración y si abrías uno de ellos con un editor de texto existía un campo que podías modificar manualmente para arrancar el juego y conseguir las recompensas”, recuerda el berciano.
De manera autodidacta, Pablo fue ampliando sus conocimientos de la mano de “una comunidad especialmente generosa que entiende que para conseguir conocimientos realmente valiosos es necesario compartir los que tienes y en la que siempre recibes más de lo que das”. Al respecto, el berciano hace hincapié en la necesidad de “limpiar los prejuicios” asociados en el imaginario colectivo a la comunidad de ‘hackers’, a los que se identifica de manera errónea como cibercriminales. “La representación más habitual de un ‘hacker’ en las películas o series siempre es la misma: un hombre, joven, encerrado en un sitio oscuro donde escribe ceros y unos y generalmente realiza actividades delictivas”, lamenta Pablo, que señala que estas connotaciones peyorativas “actúan como una barrera de entrada real para muchos jóvenes que de no ser por esto se plantearían desarrollar su carrera en esta industria”. En ese sentido, señala la existencia de una “gran brecha de género” en los estudios universitarios relacionados con la informática, donde sólo un 13 por ciento de los alumnos son mujeres.
Con una demanda creciente de profesionales formados en materia de ciberseguridad por parte de las compañías, el sector atraviesa en los últimos años un periodo de expansión que se prevé que se consolide a lo largo de la década. “La gente que esté pensando en adentrarse en esta industria no puede llegar en mejor momento”, señala Pablo, que apunta que los programas de Bug Bounty aparecen en este contexto como “una muy buena manera de ganar experiencia, testear conocimientos, adquirir nuevos y tal vez conseguir grandes recompensas”, como la que obtuvo el argentino de 19 años Santiago López, ganador de más de un millón de dólares en recompensas a través de la plataforma HackerOne.
En estos programas, las empresas ponen sus activos a disposición de miles de ‘hackers de sombrero blanco’, como también se denomina a los profesionales del sector, para que estos reporten fallos de seguridad, conocidos con el nombre genérico de ‘bugs’, con el objetivo de que puedan ser solucionados. Las compañías detallan qué activos quieren que sean testeados y qué tipo de fallos prefieren encontrar, de manera que las recompensas varían de importe según el tipo de vulnerabilidad reportada. “En mi caso, mi primer ‘bug’ fue de 300 dólares”, recuerda Pablo, que lamenta que en España apenas existen plataformas de este tipo más allá de la incipiente Epic Bounties, con sede en Málaga. “Apenas existe contenido en castellano sobre la industria de Bug Bounty y sin embargo contamos con una comunidad hispanohablante inmensa, es algo que la industria está desaprovechando”, apunta Pablo, que valora la “gran cantidad de talento” existente en los países de habla hispana en lo relacionado con este mundo.
Entre las vulnerabilidades más comunes detectadas por estos ‘hackers’ destacan las XSS (Cross-Site Scripting), por las que la comunidad de HackerOne recibió hasta 2020 más de cuatro millones de dólares en recompensas. Sin embargo, muchas veces “las más habituales no son las más rentables, ya que en ellas hay más competencia”, señala Pablo, que apunta que los “nichos poco explotados” permiten acceder a mayores recompensas. “La imaginación es un factor diferencial y no muchos ‘hackers’ son conscientes de ello. Encontrar la puerta por la que nadie más ha intentado entrar puede ser la clave del éxito, muchas veces el camino más rápido es el más sencillo y no son necesarias complicadas técnicas”, explica.
En ese sentido, Pablo recalca que es necesario disponer de unos conocimientos básicos sobre el uso de las principales herramientas de registro, monitorización o automatización con las que los ‘hackers’ buscan las vulnerabilidades de los sistemas. “Nos encontramos con una ventana de cristal y miles de herramientas para romperla, como martillos, piedras o escopetas. Todas ellas la rompen y las compañías necesitan hacer cristales resistentes a todo tipo de herramientas”, explica el berciano, que señala que una de las maneras más fáciles de empezar en esta actividad es con las herramientas para desarrolladores que ofrece Google Chrome “Son fáciles de utilizar y con ellas se puede conseguir romper prácticamente cualquier cosa”, resume.
Su libro, que ya se puede comprar a través de la web de la editorial 0xWord, recopila algunos de los trucos más utilizados en el sector y trata de servir de “guía para iniciarse en la industria” para los ‘hackers’ que estén dando sus primeros pasos en este ámbito y para descubrirles las oportunidades de monetizar sus conocimientos mediante este tipo de programas. “¿Quién sabe si el próximo ‘hacker’ en conseguir más de un millón de dólares será de León?”, se pregunta Pablo, que subraya el orgullo que supone para la provincia ser sede de una “gran institución” como el Instituto Nacional de Ciberseguridad (Incibe). “Creo que por ahí tenemos una gran oportunidad para poner en valor el talento que tenemos en el eje del noroeste”, señala.
En ese sentido, el berciano remarca el “papel fundamental” que deben jugar las instituciones públicas a la hora de acompañar el crecimiento de una industria que necesita desarrollarse a la misma velocidad a la que lo harán las nuevas necesidades surgidas de la implantación de tecnologías como la Inteligencia Artificial o el tratamiento de datos masivos. “Es una gran oportunidad para poner en valor el talento y fomentar la formación y el emprendimiento en ciberseguridad”, remarca Pablo.