Cómo ganar plata buscando errores en los programas informáticos
Las compañías pagan para que programadores externos analicen sus software y encuentren errores en el código o vulnerabilidades en su seguridad
El primer bug ("insecto"o, en informática, "error") de la informática fue encontrado en 1947, cuando una polilla quedó atrapada en un componente de la computadora electromecánica, Harvard Mark II ( el término ya se usaba antes para hablar de un error en un dispositivo ). En los 67 años desde que aquel insecto muerto fue hallado, las computadoras han cambiado mucho, pero los bugs continúan enredándose en ellas.
La mala noticia es que, en estos días de delincuencia cibernética desenfrenada, estos errores pueden ofrecer a los atacantes acceso fácil a una máquina. La buena noticia es que encontrar estos agujeros en el software por el que se cuelan puede resultar un lucrativo negocio para los chicos buenos.
Los grandes errores se encuentran generalmente cuando los programas están a punto de ser lanzados. Sin embargo, el número de expertos al que los fabricantes de software pueden acudir para verificar qué tipo de agujero dentro del software goza de la preferencia de los ciberladrones es limitado, incluso para las empresas más grandes.
No es de extrañar entonces que cada vez más fabricantes de software estén ofreciendo recompensas a personas, sobre todo investigadores de seguridad independientes, para detectar esos agujeros de seguridad y otras vulnerabilidades.
La recompensa puede ir desde una remera o un software gratis hasta, a veces, una computadora portátil. Pero cada vez más -dice Casey Ellis, fundador de la web Bug Crowed- la recompensa es dinero contante y sonante.
"Tan pronto como se presenta ese tipo de incentivo, llama la atención de más personas y la investigación es también mejor", dijo. "Todo el mundo debería tener un programa de recompensas de algún tipo".
Bug Crowed cuenta con 6000 miembros y actúa como centro para los buscadores de errores y para las empresas que necesitan los sevicios de estas personas. Ofrece una lista de los programas de recompensas y beneficios y ayuda a normalizar las formas en la que los problemas digitales son denunciados.
Mirada lógica
¿Quiénes son los buscadores de bugs? "Hay dos grupos distintos", dijo Ellis. "Los que se centran en la búsqueda de problemas con un enfoque muy técnico, y luego están los que tratan de pensar como los malos".
James Forshaw de la firma de seguridad Context, se encuentra en el primer grupo. "Me he especializado en la búsqueda de errores lógicos", dijo. "No se trata de la explotación de una pieza de código, sino toda una cadena de operaciones lógicas para obtener un resultado inesperado".
En octubre del año pasado, Forshaw recibió de Microsoft una recompensa de US$ 100.000 por encontrar un agujero de seguridad en Windows 8.1 que, de ser explotado, habría permitido a los atacantes saltarse los sistemas de protección.
Esto puede implicar un trabajo minucioso para rastrear la forma en la que los procesos y funciones interactúan en software. Puede ser especialmente duro con los productos Microsoft porque relativamente poco de su código fuente se encuentra disponible. En lugar de ello, los ingenieros de seguridad, como Forshaw, utilizan herramientas que funcionan en una versión abstracta de ese código de software.
A veces, el resultado final de todo el cuidadoso análisis es nada.
En octubre del año pasado, Forshaw recibió de Microsoft una recompensa de US$ 100.000 por encontrar un agujero de seguridad en Windows 8.1 que, de ser explotado, habría permitido a los atacantes saltarse los sistemas de protección.
"El día que lo hallé fue un día bastante bueno", dijo a la BBC. Sin embargo, reconoció que su enfoque se basó en su amplia experiencia acumulada desde que consiguió su primera computadora a la edad de seis años, después de lo cual se convirtió en un adicto de los códigos.
Muchos otros buscadores de errores han utilizado su habilidad para sacar partido de la oportunidad. Esto se debe a que las empresas de software no son las únicas que pagan para enterarse de estas fallas. Los ciberladrones también ofrecen dinero por conocer vulnerabilidades que pueden explotar con virus y otros programas maliciosos.
Pero los mayores compradores de informes de fallas son los gobiernos, y las recompensas potenciales son enormes. Documentos filtrados por Edward Snowden sugieren que la Agencia Nacional de Seguridad de EE.UU. gasta US$ 25.000.000 al año en la compra de datos sobre errores. Han surgido empresas que actúan como intermediarios entre los investigadores y los compradores y hay informes anecdóticos de gente que se enriquece gracias a estas ofertas.
Inicio rápido
Entonces, ¿hay alguna esperanza para los jóvenes de más de seis años que no tienen un conocimiento técnico profundo de software? ¿Puede hacerlo cualquiera? Sí, dice Casey Ellis de Bug Crowed, al tiempo que agrega que muchos de sus miembros comenzaron como novatos adolescentes, pero que ahora lo están haciendo bien. Hay otros también.
"Empecé a los 14 años con la búsqueda de vulnerabilidades en aplicaciones de web sencillas", dice el adolescente alemán Robert Kugler, quien ahora tiene 17 años. "La seguridad siempre fue un tema fascinante para mí, así que me autoenseñé fundamentos de seguridad de la información y continué estudiando más a fondo".
Desde entonces, ha logrado encontrar errores para Mozilla, Avast, PayPal, Yahoo, Microsoft, el gobierno holandés y el servicio de inteligencia militar de Bélgica. Ha recibido cerca de US$ 5000 por su trabajo.
Sin embargo, admite que no es fácil. "Es necesario tener una buena capacidad analítica y hay que ser capaz de entender las coherencias", dijo. "Por último, e igualmente importante, la paciencia y la creatividad son habilidades muy importantes".
Otro ejemplo de cuán sencillo puede ser esto se encuentra en Chris Wysopal, un exmiembro del famoso grupo de pirateo informático Lopht hackers. En mayo de 1998, el grupo declaró ante el Congreso de EE.UU. que podía cerrar Internet en 30 minutos.
Wysopal ahora ayuda a dirigir la empresa de seguridad Veracode, que produce herramientas automatizadas que buscan vulnerabilidades y otros fallos en el código.
"Esas herramientas pueden encontrar un código que es vulnerable a ataques conocidos o señalar sitios donde las funciones de seguridad, tales como la criptografía, son débiles. Ir más allá requiere personas que puedan tener una visión de un nivel superior de cómo encajan los códigos entre si", dice Wysopal.
Con todo, agrega que esas personas no necesariamente tienen la habilidad técnica.
La Hija de Wysopal, Renee, recibió una recompensa de US$ 2500 dólares de Facebook por descubrir que su módulo de privacidad falló varias veces a la hora de bloquear la visita de sus páginas por otras personas.
A pesar de ser una graduada de artes, Renee encontró el error después de obtener la orientación de su padre acerca de cómo ver el código fuente de una página web y el uso de un proxy para cambiar los datos que se le pasan.
Es poco probable que su experiencia sea única, dijo Wysopal.
"No creo que sea tan difícil encontrar fallos en muchos productos", dijo. "Sólo hay que buscar".