.

Tecnología y Sociedad

Empleos 2.0: el cazador de errores de código que nos protege en la sombra

1

Sin formación académica, con un ordenador trucado y a miles de kilómetros de distancia, Evan Ricaford se dedica a buscar errores en el software de empresas de las que tal vez seamos usuarios. Al veces logra un buen sueldo, otras, debe conformarse con una simple camiseta

  • por Erin Winick | traducido por Ana Milutinovic
  • 31 Agosto, 2018

Evan Ricafort trabaja desde casa, en una habitación en el hogar que comparte con su familia, al lado de una autopista nacional en Filipinas. Mientras los padres de este chico de 22 años se van a trabajar a una tienda de su propiedad en la ciudad sureña de Ipil, él pasa hasta 75 horas a la semana encerrado y conectado a un ordenador trucado. Allí, en medio de una cacofonía de motocicletas, ladridos de perros y bebés llorando, Ricafort podría estar salvando nuestros datos personales.

Ricafort es un cazador de errores, una nueva generación de hackers éticos que se dedica a buscar vulnerabilidades en el software de algunas de las compañías tecnológicas más grandes del mundo antes de que los ciberdelincuentes se aprovechen de ellas. Por supuesto, no lo hacen por amor al arte: muchas empresas pagan (algunas muy bien, ver El hacker que gana 250.000 dólares al año por encontrar errores de software) por estas entregas que las ayudan a reforzar los códigos de los que dependen su negocios. Teniendo en cuenta el volumen de lo que está pasando en este ámbito, el trabajo de un cazador de fallos de software es una profesión emergente

 

Ricafort no tiene ningún título profesional en informática ni programación. Después de que uno de sus amigos le hablara de lo que ganaba como cazador de errores, Ricafort buscó en internet, leyó blogs de otros investigadores de seguridad y se dedicó a ver vídeos para aprender el oficio de forma incansable. Recuerda que su primera recompensa vino de "un error por poco más de 40 euros de una empresa aleatoria". Pero la adrenalina de la cacería le ha enganchado desde entonces, y en 2014 la convirtió en su profesión a tiempo completo.

Al principio, sus amigos y familiares no lo entendían, pero después de explicarles su trabajo y cuando las recompensas comenzaron a llegar, se dieron cuenta de que era una opción de carrera viable. Y con un noble objetivo. El joven afirma: "No solo ayudo a la empresa, sino también a toda la comunidad: a los usuarios y a los trabajadores de la compañía".

En los últimos cuatro años, Ricafort ha encontrado vulnerabilidades en el código de más de 200 empresas, incluidas Apple, Google, Microsoft, PayPal, Yahoo, IBM y Twitch. El año pasado consiguió su mayor paga hasta la fecha, valorada en más de 4.200 euros de una compañía cuyo nombre no puede divulgar. El joven cuenta: "Eso me cambió la vida. No puedo expresar en palabras cómo me sentí". Lo celebró como cualquier chico de 21 años lo hubiera hecho: viajó un poco y se compró un juguete nuevo, una bicicleta BMX.

Pero el error que le hizo famoso, el que lo puso en el mapa de los cazadores serios, no le aportó ni un céntimo. Ya en 2014 detectó un defecto en el termostato inteligente Google Nest que permitía a los atacantes acceder a los detalles personales y financieros de los clientes, incluidas las credenciales, la información de las tarjetas de pago y las copias escaneadas de los documentos como el pasaporte y el DNI. El hallazgo le colocó en el Salón de la Fama del Programa de Recompensas de Vulnerabilidad de Google , pero el equipo de seguridad de la compañía explicó que se trataba de un problema con un proveedor de software y por lo tanto no era apto para un desembolso (de hecho Google sí le ha pagado por identificar otros errores).

Desafortunadamente, esta no fue la única vez que no recibió ni un euro por encontrar un fallo de software. En vez de dinero, otras compañías le han ofrecido desde su material promocional hasta una gira por el Capitolio de EE. UU.  Y a pesar de que a Ricafort le gusta su camiseta del Gobierno holandés que dice: "Yo he hackeado al Gobierno holandés y todo lo que conseguí fue esta pésima camiseta", la prenda no le ayuda a llegar a fin de mes.

Aun así, afirma que gana lo suficiente para sobrevivir. Calcula que cada mes cobra una media de 10.000 pesos filipinos (aproximadamente 160 euros), casi un salario medio en su país. En los meses buenos puede llegar a ganar entre 320 euros y 480 euros aproximadamente.

Para muchos cazadores de fallos de software, la vida funciona así: viven bajo grandes y constantes fluctuaciones salariales y con sueldos insostenibles para cualquier país desarrollado. Pero esto podría empezar a cambiar. Empresas como Bugcrowd y HackerOne (con las que Ricafort ha trabajado) facilitan las cosas para la comunidad de cazadores de errores, ofreciendo esquemas donde los cazadores pueden ganar un salario más regular y conectarse con compañías dispuestas a pagar (ver El Uber de la ciberseguridad une a empresas con cazadores de virus).

En cualquier caso, Ricafort disfruta del impacto de su trabajo. Aunque admite que estaría dispuesto a aceptar una buena oferta en un puesto de seguridad cibernética a jornada completa, cree que puede marcar una mayor diferencia haciendo lo que hace ahora: combatir las vulnerabilidades desde la segunda línea de batalla. El joven afirma: "Mi corazón late por la recompensa de los errores".

Si quieres saber más sobre empleos del futuro, no te pierdas estas historias:

Tecnología y Sociedad

Los avances tecnológicos están cambiando la economía y proporcionando nuevas oportunidades en muchas industrias.

  1. La nueva baza de China para presionar a EE UU pasa por restringir la exportación de litio

    China es una potencia en energías limpias, especialmente en las cadenas de suministro de baterías. Por ello, las tensiones y restricciones comerciales entre China y EE UU podrían poner en riesgo el avance en tecnologías climáticas y el desarrollo de vehículos eléctricos

  2. La suplantación de identidad amenaza la credibilidad de Bluesky

    Varios usuarios han sido víctimas de suplantación de identidad en Bluesky, una situación que pone de manifiesto un problema relacionado con el auge de cuentas falsas que, si no se aborda, podría dañar la reputación y credibilidad de la plataforma

    La suplantación de identidad amenaza la credibilidad de Bluesky
  3. Arati Prabhakar, directora saliente de Ciencia y Tecnología de EE UU: "Queremos entender si la IA es segura, pero aún no sabemos cómo"

    La directora de la Oficina de Política Científica y Tecnológica (OSTP) de la Casa Blanca, que probablemente dejará su cargo al finalizar la administración Biden, reflexiona sobre aspectos como los riesgos de la IA, las políticas migratorias y la Ley de Chips

    Arati Prabhakar, directora de Ciencia y Tecnología de EE UU