La ciberseguridad es más importante que nunca y las empresas lo saben. Solo en 2021 los ciberataques aumentaron en un 150%, con una media de 270 ataques cibernéticos por empresa, lo cual puede suponer pérdidas económicas de millones de euros. Sin embargo, una pregunta frecuente es ¿cómo comprueban las empresas que sus datos están protegidos? Además de conseguir los certificados y protocolos de seguridad digital obligatorios, muchas empresas buscan otros métodos para poner a prueba sus medidas de ciberseguridad.
La palabra hacker se suele asociar a algo negativo y tiene connotaciones de oscuridad, delincuencia y anonimato. Las películas y los medios de comunicación han influido en esta percepción, ya que cuando se escucha algo como “han hackeado mi cuenta de Instagram” deducimos que es un acto ilícito con fines de suplantación de identidad. Lo cierto es que también existe el hacking ético, que consiste en saltar las barreras de seguridad de cualquier red, sistema o equipo para obtener información que pueda ser útil para la mejora de los protocolos de seguridad por parte de la empresa. Los piratas informáticos que practican el hacking ético identifican y reparan vulnerabilidades en el sistema, a fin de que se refuerce la seguridad del usuario.
De esta manera, algunas empresas tienen equipos internos que testean, acceden y tratan de infiltrarse en su propio sistema para comprobar que todo funciona correctamente. Aun así, es muy probable que no sean capaces de detectar los errores del mismo producto digital que ellos han creado. Como suele suceder en el ámbito de la seguridad, es más fácil que alguien externo descubra dónde están los fallos a que lo haga alguien interno. Pero, ¿es posible que un hacker ético se lance a hacer toda una investigación sobre la seguridad de una empresa sin recibir nada a cambio?
Aunque es bonito pensar que alguien haría eso solo para mejorar la sociedad y proteger los datos de los usuarios, está demostrado que la acción que más éxito de respuesta tiene son los programas de recompensas, conocidos como Bug Bounty. Los programas Bug Bounty nacieron en los años 80 y se popularizaron entre las grandes empresas y gigantes del sector tecnológico. Son retos que lanzan los departamentos de IT y ciberseguridad de las empresas para que programadores de todo el mundo se infiltren en su sistema y puedan reportar vulnerabilidades, a cambio de recompensas monetarias o de cualquier otro tipo.
Este reto se hace público por parte de la empresa, como si fuera una gran búsqueda del tesoro virtual, y tiene unas características y normativas específicas: desde acceder únicamente a los servicios o funcionalidades indicados en el reto hasta la obligatoriedad de mantener la confidencialidad. En función de la complejidad del reto y la compañía que lo publicite, el importe de la recompensa puede ascender hasta los 100,000 dólares, como sucede con el Bug Bounty que ha abierto ExpressVPN.
¿Quién puede participar en un programa de Bug Bounty? Si quieres convertirte en cazador de recompensas, únicamente necesitas conocimientos sólidos en programación (aunque participar en este reto es una oportunidad para seguir aprendiendo y ponerte a prueba), buena conexión a internet y tu ordenador. Es importante tener en cuenta que hay muchos tipos de Bug Bounties, con mayores o menores recompensas en función de la dificultad, pero todos deben tener unas condiciones legales explícitas y claras. También es necesario recordar que, además de los conocimientos técnicos, la constancia y la curiosidad son clave para llegar hasta el final. Como si de un buen detective se tratase, los hackers éticos sienten la satisfacción de haber seguido las pistas para dar con el error al mismo tiempo que hacen del mundo un lugar más seguro.
