Los hackers y las grandes compañías tecnológicas no es el binomio ideal, hasta hace no mucho tiempo, si un hacker se dedicaba a investigar por decirlo de una forma elegante (recurriendo a técnicas como la ingeniería inversa o la intrusión) las vulnerabilidades de una plataforma o software y después le hacía llegar los resultados a la compañía desarrolladora, no era extraño que la ‘buena acción’ terminara siendo recompensada con una demanda legal.
La vulnerabilidad no es un problema mientras nadie las encuentre.
A partir de que los hackers eran los más ideales para encontrar vulnerabilidades en los sistemas se pasó a incentivarlos por hacer lo que mejor se les daba… reconociéndolos económicamente para que asegurar de que daban a las compañías la posibilidad de solventar las vulnerabilidades antes de hacerlas públicas. Dichas iniciativas se institucionalizaron con el nombre de programas de ‘bug bounty‘ (recompensas por errores).
120.000 cazadores de errores profesionales
De hecho, ya existen plataformas para poner en contacto grandes compañías con consultores externos de ciberseguridad. La mayor de ellas, HackerOne (lanzada en 2012) presume de haber superado la cifra de 600.000 inscritos en el 2019, datos que doblan los de 2018.
Pero lo que en verdad ha crecido y sigue a la alza ha sido la inversión de las compañías: sus clientes corporativos, entre los que aparecen marcas tan reconocibles como Google, IBM, Goldman Sachs, General Motors o Dropbox, ellos invirtieron en sus programas de ‘bug bounty’ un total de 40 millones de dólares, una cifra que equivale a la repartida por HackerOne en los 7 años anteriores.
En 2018 un hacker recibió una recompensa de un millón de dólares solo por hacer bug bountry. Pero en 2019, según HackerOne, han sido 7 los que se han convertido en millonarios gracias al ‘bug bounty‘. Y la cifra de los que ganaron más de 100.000 dólares al año ascendió nada menos que a 50.
Según el Informe HackerOne 2019, el 19% de estos hackers son estadounidenses, siendo la India (10%), Rusia (8%), China (7%) y Alemania (4%) los otros países de origen más frecuentes entre estos hackers éticos. Otros dos datos relevantes:
- El 20% de los hackers participantes en esta clase de iniciativas las consideraban su ocupación principal.
- Sólo el 16% reconoció haber completado algún título formal en este campo, siendo el 64% restante autodidactas.
«El concepto de hacking como una profesión viable se ha convertido en una realidad: no solo hay ahora más hackers que obtienen la mayor parte (o la totalidad) de sus ingresos de dicha actividad, sino que se ganan la vida haciéndolo».