De escaso conocimiento entre la gente de la calle, este campeonato –puesto en marcha en 2022 por HackerOne– es, sin embargo, uno de los acontecimientos más importantes dentro del mundo de la ciberseguridad, un terreno ignoto para el común de los mortales. El objetivo sería la práctica de defensa de ordenadores, servidores, dispositivos móviles, sistemas, redes y datos electrónicos de ataques maliciosos, algo sobre lo que descansa en la actualidad no sólo el buen desempeño informático de todo tipo de empresas sino, incluso, la seguridad nacional.
En el extenso campo de la informática hay papeles que parecen estar ya asignados de antemano por la opinión pública: EE UU es líder en desarrollo de empresas y software; Israel, la principal potencia en ciberseguridad (con una ingente capacidad de inversión en investigación y desarrollo, experiencia militar y colaboración entre instituciones académicas, industria y gobierno, y un gran número de expertos informáticos trabajando para su seguridad nacional); y Rusia, el estado ciberdelincuente por excelencia, aunque este rol podría recaer, también, en China, más hábil, aparentemente, en mantener ocultos sus posibles ciberataques o actos de ciberespionaje. Sin embargo, ha sido España el país que ha quedado por delante de todos estos, ganando en una reñida final a la todopoderosa Israel.
El equipo español, del que ejercían como seleccionadores los ‘embajadores’ de HackerOne Carlos Rivero y Diego Jurado, estaba formado por un amplio plantel de expertos en ciberseguridad, conocidos en el sector por sus alias: hipotermia, djurado, alexandrio, blackGamba, bsysop, corraldev, crypt-0crc, curiositysec, godiego, iambouali, ickogz, jfran_cbit, milo23, mr-medi, n0xi0us, santero, six2dez_, zere, rhack o roskyfrosky.
Detectar ‘bug bounties’
Todos ellos, explica Pedro Núñez Cacho Fuentes, responsable de competiciones Capture the Flag y de Ejercicios de Simulación en Telefónica Tech, la filial tecnológica de Telefónica, son «profesionales altamente cualificados en ciberseguridad y poseen un talento excepcional para detectar vulnerabilidades en sistemas informáticos”. El trabajo de estos expertos consiste “en analizar detenidamente el código y parchear las vulnerabilidades descubiertas para evitar que otros actores maliciosos se aprovechen de ello. Aquellos que participan en estas competiciones se especializan en el análisis de vulnerabilidades y suelen estar trabajando en programas de recompensas [que pueden ir desde el mero reconocimiento y la consecución de ‘puntos’ en plataformas del sector a grandes cifras de dinero] por encontrar errores en el código, conocidos como bug bounties, tanto en esferas públicas como privadas”.
Aunque Núñez-Cacho no ha intervenido en la formación del equipo ganador en Buenos Aires, sí está capacitado para analizar su trabajo, ya que forma parte del equipo entrenador de la selección española de ciberseguridad que promueve el Instituto Nacional de Ciberseguridad de España (INCIBE), sociedad dependiente del Ministerio de Transformación Digital. Su ‘selección’, al contrario de la que participó y ganó el certamen organizado por HackerOne, no está compuesta por profesionales contrastados, sino por jóvenes de entre 18 y 25 años a los que preparan “para participar todos los años en competiciones organizadas por la Agencia de la Unión Europea para la Ciberseguridad (ENISA)”.
El sistema de competición del Ambassador World Cup es similar al de cualquier competición deportiva, explica el algecireño Tarek Bouali (iambouali, su alias), ingeniero de seguridad en Factorial, la empresa barcelonesa de desarrollo de software de recursos humanos que emplean más de 60.000 compañías internacionales de renombre. “Es como un mundial de fútbol, pero de ciberseguridad. Participan selecciones de 25 países, compitiendo durante ocho meses”. Se van celebrando rondas eliminatorias en enfrentamientos de varias semanas entre dos equipos. De cada pareja de contendientes, el país que acumula más puntos o ‘goles’ avanza a la siguiente ronda. “Los ‘goles’ serían los puntos otorgados por el programa de HackerOne, dependiendo del impacto de las vulnerabilidades que cada equipo encontraba en las empresas participantes: dos puntos para vulnerabilidades de bajo impacto, cuatro puntos para las de impacto medio, ocho puntos para las de alto impacto y doce puntos para las de impacto crítico. El que suma más, gana el partido”, explica.
Al contrario de lo que pueda pensarse, la localización de vulnerabilidades no se hace en webs de empresas que elija el hacker a su voluntad, sino que son las propias empresas las que se ofrecen voluntariamente para ver si alguien descubre brechas de seguridad en sus sistemas. El seleccionador español Diego Jurado (djurado, en el sector), que trabaja como ingeniero superior de seguridad en la empresa estadounidense Activision Blizzard King –que desarrolla videojuegos como Call of Duty, Guitar Hero o Candy Crush–, adquirida por Microsoft en octubre de 2023, nos explica el mecanismo: “En cada ronda había diferentes empresas que se ofrecían voluntarias para exponer sus activos y para que buscáramos de manera focalizada estos fallos”.
En las distintas fases eliminatorias, el equipo español hackeó empresas como Yahoo, OpenSea o Tinder. En la final, a la que llegaron los equipos de Israel y España, las empresas que se pusieron voluntariamente a prueba fueron la empresa estadounidense de software Adobe, la multinacional argentina de comercio electrónico Mercado Libre, la cadena hongkonesa de tiendas de productos de salud y belleza A.S. Watson y TikTok. “Hubo dos semanas de teletrabajo, pero la última semana se celebró de forma presencial en Buenos Aires”.
La diferencia entre ‘legal’ e ‘ilegal’
Carlos Rivero (hipotermia es su alias), el otro seleccionador del equipo español de ciberseguridad, explica a Forbes por qué el hackeo se realiza a empresas voluntarias: “Si yo me pongo a hackear una empresa por mi propia voluntad, eso es ilegal. Son las propias empresas las que se ofrecen, se muestran abiertas a que los mejores las ponga a prueba. Si alguien descubre una vulnerabilidad o bug bounty, la reporta y recibe una compensación económica por esa información. Su colega djurado nos desvela la cuantía de las recompensas económicas: “Varían según la criticidad y según la empresa. Hay empresas que pagan más y empresas que pagan menos. Por uno de los fallos de seguridad más grandes que descubrimos nos pagaron 65.000 dólares. Sólo por ese fallo. Ha habido rondas en las que hemos sido capaces de sumar mucho dinero: entre 100.000 y 150.000 dólares, por descubrir varias vulnerabilidades. En las primeras rondas hubo una empresa que pagó casi 200.000 dólares por un fallo muy, muy crítico, y lo descubrió una persona del equipo de EE UU”. Hipotermia añade que “uno de los programas de bug bounty más famosos, y por donde empieza la gente más novata, es el Departamento de Defensa de EE UU. Puede parecer que sea una estructura súper complicada, pero es muy fácil encontrar cosas, porque tienen muchísimas páginas abiertas en Internet y siempre están añadiendo contenidos. Pero ellos no pagan. En ese caso, y en el de otras empresas que tampoco, pero que están abiertas a que se descubran sus vulnerabilidades, te dan puntos dentro de plataformas como HackerOne”. Es el modo en el que la gente que empieza puede conseguir puntos con los que irse labrando reputación como hacker ético.
Aunque las cifras de las que hablan los expertos puedan parecer exorbitantes, no lo son. De hecho, el trabajo de búsqueda de bug bounty –lo que podríamos definir como un experto autónomo o freelance en ciberseguridad– está sujeto a mucha inestabilidad laboral. “En el programa de bug bounty, los hackers españoles somos los mejores, lo hemos demostrado”, afirma Diego Jurado rotundo. “Pero hay mucha gente que empieza y lo deja porque es un trabajo que puede resultar muy frustrante. Cuando no eres capaz de sacar ningún fallo, no cobras nada. Esto no es como un trabajo de cuarenta horas semanales con un salario asegurado. Como bug bounty, puedes dedicarle horas y horas y no encontrar ningún fallo. Además, sólo te pa- gan por los fallos si eres el primero en encontrarlo. Si hay una persona que se te anticipa, él será quien se lleve el dinero”.
Desde su posición en Telefónica Tech, Pedro Núñez-Cacho expone lo que podríamos denominar como la gran brecha de la ciberseguridad española: los salarios. “En España, los profesionales con perfiles de gestión muy sénior suelen tener salarios que oscilan entre los 80.000 y 120.000 euros. Hablando de perfiles más júnior, con edades comprendidas entre los 18 y 25 años, las ofertas salariales se sitúan entre los 25.000 y 40.000 euros. En EE UU o Reino Unido están pagando a una persona que se dedique al desarrollo del software, salarios muy superiores». Es por eso por lo que los principales talentos españoles en ciberseguridad suelen optar por trabajar para empresas internacionales. “Estamos hablando de un rango salarial que va de los 150.000 a los 300.000 euros y sin necesidad de residir en el extranjero, o desde una playa de las Bahamas, si lo prefieres, dado que este trabajo permite el teletrabajo de manera permanente. Estos datos forman parte de una investigación de The Wall Street Journal de 2022”, comenta Núñez-Cacho.
Sobre la Ambassador World Cup
Se trata de una competición eliminatoria organizada por al empresa HackerOne, una especie de enorme hackathón de ocho meses de duración, en el que intervienen cientos de expertos seleccionados por países y los ‘embajadores’ de HackerOne de veintinueve equipos de veintidós países. Esta compañía estadounidense se fundó hace doce años, después de que los piratas informáticos neeerlandeses Jobert Abma y Michiel Prins descubrieran en 2011 importantes vulnerabilidades de seguridad en cien de las más destacadas empresas internacionales de alta tecnología (incluidas Facebook, Google, Apple o Microsoft). Abma y Prins se pusieron en contacto con las empresas en las que habían detectado importantes fallos. Sin embargo, entonces todavía no había calado tanto la preocupación por la ciberseguridad y lo que una brecha podía suponer y muchas empresas ignoraron sus advertencias. No fue ese el caso de Alex Rice, de Facebook, que sí las atendió y entendió y propuso a los hackers neerlandeses fundar HackerOne en San Francisco.
La empresa está especializada en gestión de resistencia a los ataques informáticos, mediante la experiencia en seguridad de hackers buenos –conocidos como white hats o hackers éticos–, así como en la evaluación continua y mejora de procesos para detectar y parchear brechas por las que puedan colarse ataques digitales. Al contrario de lo que sucedió con los ataques llevados a cabo inicialmente por Abma y Prins, realizados sin aviso previo, de forma ilegal (aunque tuvieran un fin positivo), la labor de HackerOne se realiza con pleno consentimiento de las empresas a las que se va a someter el ataque, con el fin de descubrir sus vulnerabilidades, que son las que gratifican económicamente a HackerOne y a los especialistas en ciberseguridad que descubren esas brechas. Entre los clientes de HackerOne se encuentran, en la actualidad, el Departamento de Defensa de EE UU, General Motors, Goldman Sachs, Google, Hyatt, Lufthansa, Microsoft, Nintendo, PayPal o la española Inditex.