lunes, 10 de septiembre de 2018

Empleos 2.0: el cazador de errores de código que nos protege en la sombra

Evan Ricafort trabaja desde casa, en una habitación en el hogar que comparte con su familia, al lado de una autopista nacional en Filipinas. Mientras los padres de este chico de 22 años se van a trabajar a una tienda de su propiedad en la ciudad sureña de Ipil, él pasa hasta 75 horas a la semana encerrado y conectado a un ordenador trucado. Allí, en medio de una cacofonía de motocicletas, ladridos de perros y bebés llorando, Ricafort podría estar salvando nuestros datos personales.

Ricafort es un cazador de errores, una nueva generación de hackers éticos que se dedica a buscar vulnerabilidades en el software de algunas de las compañías tecnológicas más grandes del mundo antes de que los ciberdelincuentes se aprovechen de ellas. Por supuesto, no lo hacen por amor al arte: muchas empresas pagan (algunas muy bien, ver El hacker que gana 250.000 dólares al año por encontrar errores de software) por estas entregas que las ayudan a reforzar los códigos de los que dependen su negocios. Teniendo en cuenta el volumen de lo que está pasando en este ámbito, el trabajo de un cazador de fallos de software es una profesión emergente.
Ricafort no tiene ningún título profesional en informática ni programación. Después de que uno de sus amigos le hablara de lo que ganaba como cazador de errores, Ricafort buscó en internet, leyó blogs de otros investigadores de seguridad y se dedicó a ver vídeos para aprender el oficio de forma incansable. Recuerda que su primera recompensa vino de "un error por poco más de 40 euros de una empresa aleatoria". Pero la adrenalina de la cacería le ha enganchado desde entonces, y en 2014 la convirtió en su profesión a tiempo completo.
Al principio, sus amigos y familiares no lo entendían, pero después de explicarles su trabajo y cuando las recompensas comenzaron a llegar, se dieron cuenta de que era una opción de carrera viable. Y con un noble objetivo. El joven afirma: "No solo ayudo a la empresa, sino también a toda la comunidad: a los usuarios y a los trabajadores de la compañía".
En los últimos cuatro años, Ricafort ha encontrado vulnerabilidades en el código de más de 200 empresas, incluidas Apple, Google, Microsoft, PayPal, Yahoo, IBM y Twitch. El año pasado consiguió su mayor paga hasta la fecha, valorada en más de 4.200 euros de una compañía cuyo nombre no puede divulgar. El joven cuenta: "Eso me cambió la vida. No puedo expresar en palabras cómo me sentí". Lo celebró como cualquier chico de 21 años lo hubiera hecho: viajó un poco y se compró un juguete nuevo, una bicicleta BMX.
Pero el error que le hizo famoso, el que lo puso en el mapa de los cazadores serios, no le aportó ni un céntimo. Ya en 2014 detectó un defecto en el termostato inteligente Google Nest que permitía a los atacantes acceder a los detalles personales y financieros de los clientes, incluidas las credenciales, la información de las tarjetas de pago y las copias escaneadas de los documentos como el pasaporte y el DNI. El hallazgo le colocó en el Salón de la Fama del Programa de Recompensas de Vulnerabilidad de Google , pero el equipo de seguridad de la compañía explicó que se trataba de un problema con un proveedor de software y por lo tanto no era apto para un desembolso (de hecho Google sí le ha pagado por identificar otros errores).
Desafortunadamente, esta no fue la única vez que no recibió ni un euro por encontrar un fallo de software. En vez de dinero, otras compañías le han ofrecido desde su material promocional hasta una gira por el Capitolio de EE. UU.  Y a pesar de que a Ricafort le gusta su camiseta del Gobierno holandés que dice: "Yo he hackeado al Gobierno holandés y todo lo que conseguí fue esta pésima camiseta", la prenda no le ayuda a llegar a fin de mes.
Aun así, afirma que gana lo suficiente para sobrevivir. Calcula que cada mes cobra una media de 10.000 pesos filipinos (aproximadamente 160 euros), casi un salario medio en su país. En los meses buenos puede llegar a ganar entre 320 euros y 480 euros aproximadamente.
Para muchos cazadores de fallos de software, la vida funciona así: viven bajo grandes y constantes fluctuaciones salariales y con sueldos insostenibles para cualquier país desarrollado. Pero esto podría empezar a cambiar. Empresas como Bugcrowd y HackerOne (con las que Ricafort ha trabajado) facilitan las cosas para la comunidad de cazadores de errores, ofreciendo esquemas donde los cazadores pueden ganar un salario más regular y conectarse con compañías dispuestas a pagar (ver El Uber de la ciberseguridad une a empresas con cazadores de virus).
En cualquier caso, Ricafort disfruta del impacto de su trabajo. Aunque admite que estaría dispuesto a aceptar una buena oferta en un puesto de seguridad cibernética a jornada completa, cree que puede marcar una mayor diferencia haciendo lo que hace ahora: combatir las vulnerabilidades desde la segunda línea de batalla. El joven afirma: "Mi corazón late por la recompensa de los errores".