Sin formación
académica, con un ordenador trucado y a miles de kilómetros de distancia, Evan
Ricaford se dedica a buscar errores en el software de empresas de las que tal
vez seamos usuarios. Al veces logra un buen sueldo, otras, debe conformarse con
una simple camiseta
Evan Ricafort trabaja
desde casa, en una habitación en el hogar que comparte con su familia, al lado
de una autopista nacional en Filipinas. Mientras los padres de este chico de 22
años se van a trabajar a una tienda de su propiedad en la ciudad sureña de
Ipil, él pasa hasta 75 horas a la semana encerrado y conectado a un ordenador
trucado. Allí, en medio de una cacofonía de motocicletas, ladridos de perros y
bebés llorando, Ricafort podría estar salvando nuestros datos personales.
Ricafort es un
cazador de errores, una nueva generación de hackers éticos que se dedica a
buscar vulnerabilidades en el software de algunas de las compañías tecnológicas
más grandes del mundo antes de que los ciberdelincuentes se aprovechen de
ellas. Por supuesto, no lo hacen por amor al arte: muchas empresas pagan
(algunas muy bien, ver El hacker que gana 250.000 dólares al año por encontrar
errores de software) por estas entregas que las ayudan a reforzar los códigos
de los que dependen su negocios. Teniendo en cuenta el volumen de lo que está
pasando en este ámbito, el trabajo de un cazador de fallos de software es una
profesión emergente.
Ricafort no tiene
ningún título profesional en informática ni programación. Después de que uno de
sus amigos le hablara de lo que ganaba como cazador de errores, Ricafort buscó
en internet, leyó blogs de otros investigadores de seguridad y se dedicó a ver
vídeos para aprender el oficio de forma incansable. Recuerda que su primera
recompensa vino de "un error por poco más de 40 euros de una empresa
aleatoria". Pero la adrenalina de la cacería le ha enganchado desde
entonces, y en 2014 la convirtió en su profesión a tiempo completo.
Al principio, sus
amigos y familiares no lo entendían, pero después de explicarles su trabajo y
cuando las recompensas comenzaron a llegar, se dieron cuenta de que era una
opción de carrera viable. Y con un noble objetivo. El joven afirma: "No
solo ayudo a la empresa, sino también a toda la comunidad: a los usuarios y a
los trabajadores de la compañía".
En los últimos cuatro
años, Ricafort ha encontrado vulnerabilidades en el código de más de 200
empresas, incluidas Apple, Google, Microsoft, PayPal, Yahoo, IBM y Twitch. El
año pasado consiguió su mayor paga hasta la fecha, valorada en más de 4.200
euros de una compañía cuyo nombre no puede divulgar. El joven cuenta: "Eso
me cambió la vida. No puedo expresar en palabras cómo me sentí". Lo
celebró como cualquier chico de 21 años lo hubiera hecho: viajó un poco y se
compró un juguete nuevo, una bicicleta BMX.
Pero el error que le
hizo famoso, el que lo puso en el mapa de los cazadores serios, no le aportó ni
un céntimo. Ya en 2014 detectó un defecto en el termostato inteligente Google
Nest que permitía a los atacantes acceder a los detalles personales y
financieros de los clientes, incluidas las credenciales, la información de las
tarjetas de pago y las copias escaneadas de los documentos como el pasaporte y
el DNI. El hallazgo le colocó en el Salón de la Fama del Programa de
Recompensas de Vulnerabilidad de Google , pero el equipo de seguridad de la
compañía explicó que se trataba de un problema con un proveedor de software y
por lo tanto no era apto para un desembolso (de hecho Google sí le ha pagado
por identificar otros errores).
Desafortunadamente,
esta no fue la única vez que no recibió ni un euro por encontrar un fallo de
software. En vez de dinero, otras compañías le han ofrecido desde su material
promocional hasta una gira por el Capitolio de EE. UU. Y a pesar de que a Ricafort le gusta su
camiseta del Gobierno holandés que dice: "Yo he hackeado al Gobierno
holandés y todo lo que conseguí fue esta pésima camiseta", la prenda no le
ayuda a llegar a fin de mes.
Aun así, afirma que
gana lo suficiente para sobrevivir. Calcula que cada mes cobra una media de
10.000 pesos filipinos (aproximadamente 160 euros), casi un salario medio en su
país. En los meses buenos puede llegar a ganar entre 320 euros y 480 euros
aproximadamente.
Para muchos cazadores
de fallos de software, la vida funciona así: viven bajo grandes y constantes
fluctuaciones salariales y con sueldos insostenibles para cualquier país
desarrollado. Pero esto podría empezar a cambiar. Empresas como Bugcrowd y
HackerOne (con las que Ricafort ha trabajado) facilitan las cosas para la
comunidad de cazadores de errores, ofreciendo esquemas donde los cazadores
pueden ganar un salario más regular y conectarse con compañías dispuestas a
pagar (ver El Uber de la ciberseguridad une a empresas con cazadores de virus).
En cualquier caso,
Ricafort disfruta del impacto de su trabajo. Aunque admite que estaría
dispuesto a aceptar una buena oferta en un puesto de seguridad cibernética a
jornada completa, cree que puede marcar una mayor diferencia haciendo lo que
hace ahora: combatir las vulnerabilidades desde la segunda línea de batalla. El
joven afirma: "Mi corazón late por la recompensa de los errores".
Fuente: MIT
technology Review