Joven argentino ganó un millón de dólares a través de programas de recompensas por errores

Si bien hace poco más de un año ya vimos lo bien que pueden pagar los programas de bug bounty, recenteció se la historia de un adolescente argentino que confirma cómo la búsqueda de fallas de seguridad en el código puede resultar en una actividad muy lucrativa.

Para aquellos que no estén familiarizados con el término, bug bounty se refiere a los programas de recompensa que median el cual las compañías ofrecen compensaciones económicas y reconocimiento a quienes logren encontrar fallas de seguridad en un sistema; ya sea un sitio web, un programa informático u otro.

Santiago López, un bonaerense de 19 años, se convirtió en la primera persona en ganar más de 1 millón de dólares en recompensas a través de la plataforma líder en la promoción de programas de recompensas por errores: HackerOne.

“Estoy increíblemente orgulloso de ver que mi trabajo es reconocido y valorado. No solo por el dinero, sino también porque este logro representa que la información de las compañías y las personas están más seguras que antes, y eso es increíble”, dice López al sitio HackerOne.

Santiago también cuenta que es "completamente autodidacta" y que asumió el oficio y se unió a HackerOne recién en 2015. No fue hasta el año siguiente cuando el adolescente, que trabajó con el alias 'try_to_hack', obtuvo su primerpago: USD 50 por una de software que hubiera permitido realizar un tipo de ataques conocidos como “falsificación de petición en sitios cruzados” o por su nombre en inglés Cross-Site Request Forgery (CSRF).

En este tiempo, Santiago identificó más de 1.670 vulnerabilidades de código en servicios de empresas como Verizon, Twitter y WordPress. Esto incluye la identificación de una falla que podría permitir ataques Server Side Request Forgery (SSRF), lo que le dio a López la mayor recompensa efectiva: USD 9,000.

Lo que en un principio era un esfuerzo que realizaba después de clase pasó converso en un trabajo que ocupa entre 6 y 7 horas diarias de su tiempo. Y además, pay more than lo que gana un ingeniero de software típico en Buenos Aires.

"Lo que más me interesa cuando busco bugs es encontrar la mayor candididad que pueda en un corto periodo de tiempo y tratar de obtener compendia por ellos. "Sé que dicen que preferible la calidad antes que la candidad, pero lo que me gusta es la candidad", dijo Santiago.

Días después de alcanzar la cifra histórica, López se unió al club de recompensas del millón de dólares de Mark Litchfield, una figura reconocida de la industria. De hecho, Litchfield tenía una pequeña ventaja sobre López, quien para 2016 había alcanzado la suma de USD 500.000 reportando fallas.

2018: un año de muchas recompensas

Más allá de anunciar la hazaña de López, HackerOne también lanzó el Informe Hacker 2019. La plataforma, que actúa como una especie de intermediario entre las empresas y los hackers éticos, informa que los hackers de sombrero blanco han ganado más de USD 19 millones en recompensas solo en 2018, lo que equivale a los USD 24 millones que los miembros de HackerOne ganaron en los cinco años anteriores.

De hecho, cada vez más personas se unen a la comunidad. El número de miembros de HackerOne superó los 300.000, cifra que representa el doble que hace un año. Los cazar compendios de los Estados Unidos y la India representan casi un tercio de los miembros.

Nueve de cada 10 miembros de HackerOne tienen menos de 35 años, y casi uno de cada dos tiene entre 18 y 24 años. Al igual que López, la mayoría (81 por ciento) son autodidactas, mientras que solo el 6 por ciento ha completado una clase formal o certificación.