![Bug]()
Los cazarrecompensas de la nueva era no persiguen ya a asesinos, ladrones o terroristas. Persiguen bugs y vulnerabilidades. Los mayores expertos del mundo en ciberseguridad comienzan a ser ya codiciados por todo tipo de empresas que saben que su dependencia de la tecnología los hace más vulnerables. Si alguien puede encontrar un fallo para corregirlo antes de que lo aprovechen los chicos malos, son esos expertos.
Los cazarrecompensas de bugs informáticos se han convertido en tabla de salvación de muchas empresas que por fin comienzan a plantear esa faceta como parte integral de su estrategia de seguridad. Sus sistemas son analizados por estos hackers de "sombrero blanco" que encuentran fallos críticos y reciben recompensas que pueden llegar a los 100.000 dólares o más por ese trabajo. Ser un cazarrecompensas digital no es fácil, pero empieza a ser muy, muy rentable.
Por favor, caza ese bug por mí
En agosto de 2016 Ivan Krstic, responsable de ingeniería y arquitectura y seguridad de Apple, anunciaba algo especial. Su empresa iniciaba su programa de cazarrecompensas de bugs informáticos. Más vale tarde que nunca, pensarían muchos: la celebérrima compañía con sede en Cupertino se había resistido durante años a algo así, pero al fin lo hacía, y con premios de lo más jugosos que ascendían hasta los 200.000 dólares para los descubrimientos más importantes.
![Facebookbug]()
Como explicaba Krstic durante aquel evento, "cada vez es más difícil encontrar algunos de los tipos de vulnerabilidad más críticos". Este experto reconocía así la labor de miles de profesionales del segmento de la seguridad que llevan años colaborando con las empresas y sobre todo con los usuarios. Esos expertos no curioseaban para sacar provecho como los ciberdelincuentes y los crackers, sino para aprender y ayudar a que las empresas corrigiesen esos errores.
Apple es la última de las grandes en seguir esa tendencia. Microsoft ha llegado a ofrecer 100.000 dólares por la detección de errores en Windows 10, mientras que Facebook y Twitter también han concedido importantes recompensas por esos procesos en los últimos años. De hecho la empresa creada por Mark Zuckerberg ya llevaba en 2013 más de un millón de dólares pagados en distintas recompensas, y su página web WhiteHat es uno de los ejemplos clásicos del funcionamiento de estos programas. Twitter reconocía el año pasado haber pagado más de 300.000 dólares en su programa al respecto, y otras muchas empresas pagan en dinero... o en millas de vuelo.
En Xataka hemos querido indagar sobre este fenómeno que está creciendo en el mundo de la ciberseguridad y que está demostrando lo relevante que es —y cada vez más— el análisis de sistemas de grandes y pequeñas empresas en los que puede haber todo tipo de problemas de seguridad. Las empresas hacen sus propios esfuerzos, desde luego, pero los cazarrecompensas de bugs ofrecen una alternativa cada vez más valiosa, algo que demuestran las declaraciones de dos profesionales españoles con los que hemos podido hablar para la realización de este texto.
Nuestros expertos
Para la realización de este artículo hemos tenido el privilegio de contar con dos expertos en el campo de la seguridad informática que llevan ya muchos años relacionados con esa singular rama de la investigación de seguridad.
![Foto2]()
Borja Berástegui, a la izquierda, y Omar Benbouazza, a la derecha.
Borja Barastegui (@BBerastegui) trabaja como Security Engineer en el equipo de seguridad ofensiva de King —sí, esa King—, pero además es consultor de seguridad y pentester en relé. En esta última, nos explica, está desarrollando una solución para empresas que automatiza parte de lo que ya hacen los bug bounties: descubrir potenciales agujeros de seguridad.
Por su parte Omar Benbouazza (@omarbv) es un ingeniero de seguridad que lleva más de 10 años trabajando para empresas como Microsoft, Nokia o Basware, y que además es co-organizador del congreso de seguridad RootedCON. Ha estado implicado en puestos para dar respuesta a incidentes y gestión de Bug Bounty en Nokia, así como en el análisis de vulnerabilidades en Microsoft.
¿Cómo se convierte uno en cazarecompensas de bugs?
El descubrimiento de vulnerabilidades en todo tipo de sistemas informáticos es parte integral del trabajo de muchos expertos en ciberseguridad. De hecho es casi más una pasión que un trabajo, y lo demuestra el hecho de que muchos de esos expertos lo hacen más por afición que por devoción.
Así lo indicaba Borja Berástegui, que explicaba que "Encontrar vulnerabilidades y reportarlas a las empresas era algo que hacia mucha gente en nuestro mundillo, y la gran mayoría de las veces, era solo por reconocimiento o por 'buena fe'".
Si alguien quiere iniciarse en este tema, nos apunta, su consejo es "leer. Mucho. Pero mucho, MUCHO. No puedes pensar en cómo saltarte la seguridad de un sistema si no sabes como funciona. De hecho, cuanto mejor sepas como es su funcionamiento "normal", más fácil te será pensar en 'Si normalmente este dato pasa por aquí y por aquí... ¿qué ocurrirá si cambio esto otro?'". Para este experto en seguridad este tipo de proceso es "terriblemente creativo. Tienes que pensar no sólo en las maneras de "hacer algo", sino en las maneras en las que se supone que "no puedes" hacer algo".
Para iniciarse en este mundo hay que leer mucho. "Pero mucho, MUCHO. No puedes pensar en cómo saltarte la seguridad de un sistema si no sabes como funciona"
Para Omar Benbouazza esa curiosidad y esas ganas de aprender "hicieron que empezase pronto a buscar vulnerabilidades o agujeros de seguridad, simplemente por aprendizaje". Tras aprender con objetivos "más importantes" confiesa que se planteó que quería "ayudar a la comunidad e informar sobre los agujeros que encontraba. Antes no había Bug Bounties, se reportaba directamente a la empresa, y si tenías suerte te respondían y te mencionaban en alguna página de agradecimientos".
Aquella afición que según Berástegui es "la mejor manera de aprender" acabó convirtiéndose en parte integral de su trabajo, y como él dice, "hay empresas que directamente te dicen que van a recompensarte por encontrarles vulnerabilidades, y plataformas como HackerOne, BugCrowd, Yogosha, SynAck... te ofrecen maneras de contactar con ellas en el proceso".
![Bug Bounty Blog Banner 11]()
No, los cazarrecompensas de fallos de seguridad no tienen este aspecto.
Y es que como nos decía Berástegui, "la seguridad ha sufrido un boom" debido al crecimiento exponencial en el uso de tecnología. "Tu negocio se basa en la tecnología, y por lo tanto, securizar tu negocio es algo crítico". Todos los profesionales deben plantearse la pregunta de "¿qué ocurre si alguien accede a mis correos, ficheros, equipos, bases de datos y los borra, inutiliza o vende?. ¿Qué va a pasar en ese caso?". Para este experto la respuesta era evidente, y de hecho, confesaba, "no he conocido actualmente ni a un solo negocio que no se le pongan los pelos de punta al pensar en alguna de estas situaciones".
Para Benbouazza el proceso fue similar, y confiesa que tras reportar vulnerabilidades bastante importantes a WhatsApp, Twitter o Apple acabó "montando un Bug Bounty basado en la publicación responsable", con premios según la relevancia del fallo descubierto. Ese trabajo acabó desembocando en su labor en Microsoft, donde "tuve la oportunidad de trabajar para el equipo de MSVR (Microsoft Vulnerability Research), donde nos encargábamos de analizar y buscar agujeros en productos de otras empresas".
Hoy en día Benbouazza asesora a la empresa francesa Yogosha, dedicada a montar y ayudar a empresas a establecer Bug Bounties. En este tipo de plataformas "los investigadores o ninjas, como les llamamos, ayudan a buscar de forma responsable vulnerabilidades a los clientes que quieren utilizar esta forma de acercamiento a la comunidad hacker". Aquí hay un mensaje importante de Benbouazza, que defiende el talento fuera de las fronteras de Estados Unidos —está implicado en un nuevo proyecto al respecto llamado Be Real Talent—, donde suelen celebrarse algunas de las conferencias de seguridad y donde operan algunas de las compañías más importantes del sector:
Creo y apoyo a esta empresa, porque necesitamos un referente así en Europa. Las más potentes (BugCrowd, HackerOne, Synack) están localizadas en Estados Unidos, y tienen que cumplir con la Patriot Act, y no me gusta que las vulnerabilidades de empresas sean compartidas con autoridades de ningún país
Así se detectan los bugs informáticos
Para detectar esos problemas, afirma Berástegui, primero hay una fase de reconocimiento. "La frase esa de "Si tuviera ocho horas para cortar un árbol, emplearía seis para afilar el hacha" cobra todo el sentido en este tipo de actividades", destacaba. "Cuanto más sepas del objetivo, más fácil te será encontrar algo o decidir cual puede ser el mejor punto de entrada".
![Bug2]()
En aplicaciones web, por ejemplo, especialmente habituales en estos procesos, se recopila información y se hace uso de proxies como Burp, que permite controlar las peticiones y respuestas HTTP, así como ir guardando un "log" de todo lo que vamos recorriendo.
Básicamente ser un cazarrecompensas de bugs informáticos es "hackear de una forma legal"
A partir de ahí se pueden hacer cosas como "elegir peticiones que lleven parámetros que nos llamen la atención, y probar respuestas de ésta al modificar los valores que se le envían en las peticiones". La idea, confiesa este experto, es forzar el sistema con situaciones que pueden no haberse tenido en cuenta al programarlo:
Por ejemplo: Si una petición lleva como parámetro un número, que ocurre si le ponemos un número negativo? y una letra? arroja errores con mas información? Si introduzco caracteres extraños? Cómo se muestran en la respuesta? Se está filtrando alguno en concreto?
Por último, errores en "lógica de negocio", por ejemplo: Que ocurre si compro 2 productos, y al darle al "Checkout" cambio el precio de uno de los productos por un número negativo? Se resta del total?
>
>
Benbouazza nos indicaba cómo las empresas que organizan estas Bug Bounties a menudo facilitan "una dirección IP, una URL y a veces incluso un usuario y contraseña.El resto depende del investigador, pero se suele recomendar realizar análisis manuales, para no dañar la plataforma, y porque de esta forma, al contrario que con herramientas de escaneo, hay menos falsos positivos. Básicamente", aclara, "se trata de hackear de una forma legal, pero siempre sujeto a las normas que imponga la empresa".
Si descubres una vulnerabilidad, ¿a quién se lo dices?
Imagina que empiezas a trabajar en este campo por afición y pones a una empresa X como objetivo de tu aprendizaje. No pretendes robar datos ni hacer nada malo: lo único que quieres es saber si serás capaz de encontrar una vulnerabilidad que luego además quieres comunicar a la empresa de forma pública con una 'divulgación pública' ('public disclosure') tradicional. ¿Cómo hacerlo sin tener un problema?
![Ccn Cert]()
Berástegui deja claro que "a la gente no le suele gustar que le hurguen en las heridas, y sobretodo, que depende lo que estés haciendo, puede que sea ilegal. Los *public disclosures son complicados, y en función de la empresa y del fallo descubierto, puede que no sea fácil de manejar*".
Reportar vulnerabilidades de seguridad de forma pública puede tener consecuencias legales para el investigador
De hecho intentar contactar con esa empresa con todo el tacto del mundo y la mejor de las intenciones podría no ser suficiente. Publicar lo que has encontrado será probablemente muy difícil, pero Berástegui propone una alternativa. "La manera más segura suele ser contactar con un intermediario, dependiendo del tipo de vulnerabilidad que encuentres, con ZDI, CERT, o alguna plataforma de Bug Bounties".
En el vídeo que acompaña a esta parte del texto se expone precisamente el tema durante la celebración de las conferencias de seguridad RootedCON en su edición de 2011, y como se puede comprobar en él, las experiencias no suelen ser muy positivas. Para Berástegui la situación es peligrosa:
En mi opinión, los public disclosures son delicados, y hay que dar la oportunidad a la empresa de solucionar el problema (aunque les lleve bastante tiempo), y sobretodo, no olvidar que no es lo mismo que Google "amenace" con un public disclosure, que tú, como "researcher" le "amenaces" a otra empresa con publicar (esto puede explotarte en la cara con mucha facilidad).
Benbouazza coincidía con esa percepción, y avisaba a los potenciales interesados en este ámbito: "Muchas empresas no quieren reconocer fallos o vulnerabilidades. A veces, algunos de ellos tienen cierta importancia y gravedad". Este tipo de procesos pueden tener consecuencias legales para el investigador, y como su colega profesional, Benbouazza recomienda "utilizar un intermediario como un CERT, por ejemplo INCIBE o CCN-CERT en España. Ellos facilitarán la comunicación entre la empresa afectada y el investigador".
Si a pesar de hacerlo por esa vía y la empresa ignora las peticiones de los CERT, afirma Benbouazza, "considero que el investigador tiene derecho a publicar la investigación" De hecho, indica este experto, lo mismo ocurre si la empresa niega que dicha vulnerabilidad lo sea realmente. "Hace no mucho tuve un incidente de estas características con una empresa que desarrolla un software de reconocimiento biométrico. Me negaron la mayor, y terminé publicando mi investigación".
¿Se puede vivir de esto? Pues sí
Borja Berástegui nos explicaba cómo la detección de fallos de seguridad se puede convertir en un trabajo a tiempo completo, algo que no es su caso. "Hay mucha gente que ya se ha especializado en bug-hunting (dedicándole todas las horas del día) y son muy rápidos encontrando y reportando vulnerabilidades, por lo que nos quitan muchas oportunidades a los mediocres :P".
![Facebook]()
Andrey Leonov ganó 40.000 dólares en enero de 2017 tras descubrir una importante vulnerabilidad en Facebook que permitía ejecutar código remoto a través de un fallo en ImageKagick, un célebre software Open Source. No es la primera vez que Facebook recompensaba generosamente un descubrimiento de este tipo.
Aún así, es posible compatibilizar esa labor con otras en el ámbito de la seguridad informática. Siempre puede ocurrir que "acabes encontrando cosas "duplicadas", es decir que ya se han reportado antes en bounties públicos", pero para evitar ese problema siempre se puede ocudir a plataformas privadas como Yogosha o SynAck en las que hay menos competencia aunque sea más difícil de entrar porque necesitas desde referencias hasta entrevistas técnicas.
Algunas plataformas privadas de Bug Bounty se han especializado muchísimo y solo admiten a sus miembros por recomendación o tras una entrevista técnica
Es algo que precisamente confirmaba Benbouazza, que afirmaba que en ciertas plataformas ganar dinero es "realmente difícil por la cantidad de investigadores que colaboran". En la plataforma en la que trabaja, Yogosha, indica que tienen un sistema distinto en el que cuentan con aquellos investigadores que consideran mejores y más profesionales. Eso hace que el número se reduzca, y que sea "bastante más fácil ganar dinero con nosotros. Solamente reclutamos por recomendación, y eso da garantías a los clientes, a la empresa y a los investigadores".
![Dolares]()
Para Berástegui lograr "cazar" alguna vulnerabilidad se inició como algo "divertido y desafiante", y aunque desde luego ese componente se mantiene, "el hecho de que haya recompensas ayuda". Como él mismo confesaba, "la parte del reto sigue siendo muy interesante", porque acabas pensando en alguna manera original y extraña de atacar al sistema: "lo normal la mayoría de las veces ya está arreglado".
Puede que en el futuro la cada vez más ambiciosa inteligencia artificial plantee retos a estos cazarrecompensas y les quite parte del trabajo, pero para Berástegui eso no será así: "las herramientas evolucionarán para ayudarnos a encontrar fallos, pero de la misma manera, las metodologías de ataque evolucionarán para saltarse esas detecciones. Es la historia del gato y el ratón".
Para Benbouazza la inteligencia artificial podría afectar al sector en el futuro, pero para él hay dudas importantes al respecto. "Hay que recordar que la inteligencia artificial no se hace sola... hay que programarla y alimentarla de bases de datos con fallos detectados previamente". Para él, sea como fuere, todo sería cuestión de adaptarse a ese futuro si se produce finalmente.
