Soy informático y trabajo reportando fallos de software a las grandes empresas tecnológicas

“Se ha descubierto una importante vulnerabilidad en…”. “Un fallo de seguridad permite tomar el control de forma remota de…”. “Un agujero de seguridad abre la puerta al robo masivo de datos…”

Cada cierto tiempo los medios de comunicación publican (publicamos) fallos de seguridad encontrados en algunas de las principales aplicaciones. Estos fallos en el código de los programas son a veces descubiertos por los propios programadores de las empresas. Pero también existen programas de recompensa para quienes localicen los agujeros de seguridad más importantes o relevantes.
Qué es un Bug Bounty
Los conocidos como Bug Bounty son un programa de recompensas por errores o vulnerabilidades (VRP), que premian a las personas por descubrir y reportar errores de software. Los programas de recompensas de estos fallos a menudo se inician para complementar las auditorías internas de código y las pruebas de penetración como parte de la estrategia de gestión de vulnerabilidades de una empresa.

Muchas empresas, como Google, tienen su propia página web donde permiten que cualquiera les informe de estos fallos. Pero también hay páginas web que están especializadas en recopilar todas estas iniciativas de Bug Bounty, como HackerOne, especialmente cuando hay jugosas recompensas de por medio.

Estas plataformas de recompensas por errores permiten a los expertos cobrar por encontrar vulnerabilidades en aplicaciones y software. La idea es que estos expertos informáticos puedan detectar (y los desarrolladores corregir) estos errores antes de que el público se entere, para evitar incidentes de seguridad generalizados.

HackerOne presume de ser la comunidad de piratas informáticos y cazadores de errores más grande del mundo, pero hay otras: Bugcrowd, que conecta organizaciones con piratas informáticos éticos o YesWeHack son algunas de ellas.

Cazadores en España
Aunque hay diferencias, todas estas plataformas quieren ayudar a las empresas a proteger sus activos de software y utilizar las habilidades de los investigadores de seguridad de manera ética pagando a los cazadores de errores.

Este tipo de profesionales conocen los aspectos prácticos de la ciberseguridad y están muy preparados para encontrar estos fallos y vulnerabilidades. Conocen y comprenden cómo funcionan las aplicaciones web y su arquitectura. Se manejan con destreza con bases de datos SQL, y se defienden en diferentes lenguajes de programación, como Javascript o Python.

Pero, a veces, la recompensa por errores se vuelve muy competitiva y muchas personas reclaman haber descubierto el mismo error en el mismo sitio o programa.

En Xataka hemos querido conocer si hay muchos “cazadores” de este tipo en nuestro país y si se puede vivir de ello. Y, aunque haberlos, lo cierto es que no son una comunidad muy numerosa (algo reconocido por ellos mismos).

Hemos podido hablar con dos de ellos: Antonio Fernandes, responsable de ciberseguridad en una industria del noroeste de España que asegura que en su tiempo libre se dedico al Bugbounty, y J. Domingo Carrillo, graduado en Telecomunicaciones (especialidad en Telemática) por la Universidad Politécnica de Valencia y cuyo nick es 0xd0m7. Estas son sus experiencias e historias.

Un hobby me trajo hasta aquí
Estos dos profesionales reconocen que llegaron a este mundillo casi por casualidad. J. Domingo Carrillo asegura que todo empezó como un hobby. “De hecho, mis primeros bugs fueron en programas VDP, es decir programas gratuitos”, recuerda. Y empezó a investigar cómo descubrir estos fallos de seguridad porque, en aquel entonces, pensaba que eso “podría ayudarme en mi trabajo como analista de aplicaciones”.

Estamos hablando, aproximadamente, de hace unos cuatro años. Una afición que poco a poco fue ganando en importancia hasta que, desde hace algo más de un año, ya se dedica profesionalmente a ello.

Antonio Fernandes, por su parte, marca las navidades de 2019 como su bautismo en estas iniciativas. Su motivación para intentar descubrir fallos en los programas fue más una manera de "no oxidarme en la parte técnica" pero también porque, en su caso, "al vivir desplazado tenía bastantes tiempos muertos después del trabajo”.

Cazo agujeros y lo hago así
Les hemos preguntado en qué consiste realmente su trabajo, si empiezan a analizar una parte del código desde cero, si ya saben o intuyen dónde pueden estar los principales errores o si parten de investigaciones previas.

A Fernandes le gustan los "scopes" amplios porque le permiten hacer un "reconocimiento que va más allá de los dominios principales". Así, se dedica a investigar adquisiciones o proyectos que han sido anunciados para, “una vez reunida toda la inteligencia de los activos", empezar a ver "qué tienen instalado y los posibles fallos que puedan haber cometido y que se puedan explotar”.

Foto Antonio
Mientras, Domingo detalla que su trabajo consiste en “buscar bugs o vulnerabilidades con impacto real para la organización". Para ello, reconoce que se pone en la piel de un atacante remoto para pensar como él e intentar sacar el máximo provecho a cada vulnerabilidad”. Domingo explica en este punto que para hacer su trabajo sigue una metodología “muy estricta basada en mi experiencia y que poco o nada tiene que ver con los estándares habituales (OWASP)". Cabe señalar que la Open Web Application Security Project es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software y que se mueve a través de proyectos de software de código abierto.

“Salvo que tenga tiempo, algo que es bastante raro”, (se ríe) Domingo no analiza el código de los programas, salvo en aquellos casos que "sepa realmente que tengo una vulnerabilidad interesante”.

Esta labor, además, se realiza en solitario. Es decir, que no tiene a un equipo de trabajo detrás o con el que trabaje. Entre otras cosas porque, según Domingo, hay “muy poca gente está especializada" en este campo (subrayando que su dedicación “nada tiene que ver con ser auditor de aplicaciones web”). Una de las cosas negativas de que sean una comunidad tan pequeña es que, tal y como reconoce, “a veces se hace bastante difícil encontrar apoyo para explotar una vulnerabilidad sobre todo cuando te quedas “atascado””.

No obstante, este experto en seguridad comparte sus inquietudes con dos grupos: “mi equipo Red Line Team y con Spinquisitors", con quienes montó un taller de Bug Bounty en el pasado mes de marzo en la Rooted Madrid.

Fernandes coincide en que, al menos cuando se empieza a buscar estos errores, el trabajo es solitario: está él solo con sus "scripts" y empieza a buscar cosas. Fernandes, sin embargo, reconoce que el móvil, y más concretamente una aplicación de mensajería, están a su vera. “Estoy siempre por Telegram con mis "compañeros" comentando cosas que encontramos y técnicas que nos pareces interesantes”, nos cuenta.La relación con otros hackers
Aunque, como vemos, son pocos pero parece que bien avenidos, hemos querido preguntarles qué relación mantienen los hackers entre sí, dado que muchos de estos cazadores de errores compiten entre ellos para lograr estos premios.

Antonio Fernandes expone que, como en botica, hay de todo y que, como casi siempre, todo “depende de la persona”. Pero en su experiencia aunque exista competencia, esta se puede calificar de “sana y bien entendida”. Es más, cree que “aunque parece que últimamente se le critique, la competencia nos empuja a mejorar individualmente”.

Una visión que comparte Domingo. “Tengo muy buenos amigos hackers y otros que es mejor ni hablar con ellos”, explica. Una relación que se extiende incluso cuando hay competencia entre ellos.“Es algo que a nivel personal me da igual y siempre que alguien me pregunta algo con coherencia le respondo. Porque más allá de hacker, soy una persona normal, como cualquier otra”, señala.

Mi primer bug y el más importante
En lo que coinciden estos dos profesionales es en recordar cuál fue el primer bug que descubrieron.

“Específicamente en el mundo del BugBounty, fue un chequeo incorrecto que hacían en el mail corporativo en un banco de Holanda, lo cual permitía registrarse en un aplicativo que era solo para empleados”, recuerda Antonio Fernandes. En su memoria también está el momento en que encontró un servidor en una empresa de desarrollo “muy, muy conocida" (según sus palabras), en el que logró crear un usuario y, "desde ahí tener acceso a todos el código fuente de sus programas”. Es decir, que pudo acceder “al core del negocio” de esta empresa cuyo nombre no quiere revelar.

No nos dan cifras concretas, pero algunos de estos cazadores pueden ganar más de 100.000 dólares al año. Eso sí, aseguran que no es un trabajo para todo el mundo
Como J. Domingo empezó a trastear con aplicaciones gratuitas, es lógico que su primer descubrimiento fue de un programa VDP público. Más concretamente, uno de General Motors (una vulnerabilidad SSRF -Server Side Request Forgery- en Weblogic) y fue en una de las plataformas comentadas anteriormente (Hackerone). Pero el más importante fue un bypass al proxy inverso “que me permitió ver los ficheros de PHP en texto plano”. Un error que fue el que más fama y dinero le dio.

Por su experiencia, dice que los errores más tontos son aquellos que afectan a las credenciales por defecto. Es decir, que el típico usuario administrador con nombre administrador. “Pasa más de lo que creemos”, se ríe. Sin embargo, las más graves son las que permiten ejecución de comandos. En este sentido, recuerda con especial interés un path traversal “que escalé a ejecución de comandos”. La recuerda porque “lo conseguí después de 2-3 meses después del triaje. Un día me vino la inspiración y lo logré”.

Un descubrimiento no recompensado
Hablando con estos dos expertos, también les hemos preguntado si alguna vez han descubierto alguna vulnerabilidad que no estuviera recompensada. Y, sobre todo, por la reacción de las empresas al ser notificadas del fallo.

Los dos se han topado con alguna situación así, incluso “con alguna de las grandes corporaciones que todos conocemos”, en confesión de Fernandes. Asegura que cuando esto le ocurre no suele enfadarse y se muestra comprensivo. “Es su programa de recompensas, ellos tienen su propio criterio a la hora de "premiar"”, expone. Su manera de resolver este tipo de situaciones suele ser “encontrando otro fallo que les gustase más y que acabaran reconociéndomelo”.