Errores con recompensa

¿Cuánto cuesta un bug? Para quienes lo detectan suele significar una prima económica más o menos jugosa, pero para los que lo sufren podría convertirse en catástrofe financiera si el agujero en el programa afectado no se soluciona a tiempo. Tanto por la cantidad de información sensible que queda al descubierto, al alcance de los ciberdelincuentes, como por la mala publicidad, pérdidas de usuarios o las posibles multas a las que se enfrentan sus propietarios. Por eso cada vez más compañías de software se dejan arrastrar por la moda del pago de recompensas a cambio de reportes sobre vulnerabilidades en la codificación de sus programas o servicios.

Es lo que en inglés se conoce como “bug bounty” y que durante los últimos tiempos está revalorizando la depuración de errores por parte de los hackers de sombrero blanco más allá de su condición como miembros contratados de una empresa. Y es que, en vez de engrosar su plantilla mediante el reclutamiento de más investigadores a tiempo completo, gigantes como Google han comenzado a agradecer la labor de aventureros freelance vía cheque.

Es el caso de Sergey Glazunov, un universitario ruso que a principios de año fue premiado con 60.000 dólares y un Chromebook por encontrar un exploit en el sandbox de Chrome durante el primer día de Pwnium. “Pinkie Pie”, alias utilizado por un concursante adolescente que acaba de repetir premio en la segunda edición de esta competición. O Ben Hayak, un profesional de la seguridad con sede en Israel que, en lo que llevamos de 2012, ya se ha hecho con un botín de más de 10.000 dólares y ha resuelto problemas en productos de Facebook, Twitter, eBay, Adobe, Dropbox y la propia Google. Y eso que encontrar un agujerillo menor de manera espontánea “sólo” supone ganar de 100 a 500 dólares de media.

La compañía de Mountain View se desvinculó recientemente del concurso Pwn2Own que todos los años desde 2007 se celebra en el marco de la conferencia de seguridad CanSecWest para fomentar los controles en dispositivos de todo tipo, desde móviles hasta sobremesas, porque las reglas de participación no exigían la divulgación completa de las hazañas de sus ganadores. Allí ofrecía premios por valor de 1 millón de dólares. Ahora ha creado el susodicho Pwnium, su propio programa de hacking con distintos niveles de recompensa según la severidad del fallo. Ambos nombres provienen del término “pwned”, derivado de “owned” (poseído, controlado o derrotado) que en la jerga hacker significa comprometer la seguridad u obtener el control de una máquina informática. Y también hace referencia a que el pirata debe forzar el equipo para finalmente llevárselo como premio.

Como parece que la técnica está funcionando, y que confiar en la destreza de la comunidad resulta más rentable que centrarse en entrenar departamentos de investigación internos (y más limitados), los problemas de seguridad en productos concretos como los navegadores de Internet se están reduciendo. Lo que implica que cada vez es más difícil encontrar bugs y que la experiencia que nos ofrecen es más segura. Pero también que las empresas desarrolladoras deben contraatacar con incentivos mayores para que los hackers bienintencionados continúen recurriendo a ellas. Ésa es precisamente la razón por la cual los chicos de la G han tenido que aflojar el bolsillo y ya ofrecen un mínimo de 1.000 dólares extra por error reportado.

Por supuesto, no son los únicos. Facebook lleva desembolsados unos 400.000 dólares, con premios individuales que oscilan entre los 500 y 10.000 dólares, para blindar su red social. La Fundación Mozilla arrancó su iniciativa en torno a Firefox en 2004 con 500 dólares por chivatazo y en 2010 ascendió a 3.000 dólares financiados directamente por Linspire y Mark Shuttleworth de Canonical, más una camiseta de regalo. Microsoft dirige su potencial a perseguir malware ya existente y cazar criminales, como cuando hace dos veranos ofreció 270.000 dólares para obtener nueva información que ayudase a la identificación, detención y condena de los responsables de la botnet Rustock. Ya antes había hecho lo mismo con el creador del virus Sasser. Y, desde el pasado mes de junio, PayPal se ha unido a la lista de empresas dispuestas a pagar por el trabajo de justicieros externos. Todas ellas lanzan soluciones a dichos fallos en cuestión de horas, sacando todavía más rédito de su inversión.

Mercado negro

Mejor aún, evitan que sus secretos caigan en manos de personas malintencionadas. Y es que las empresas de software no son las únicas dispuestas a pagar por este tipo de información privilegiada, sino que existe un mercado negro paralelo donde los “chicos malos” luchan por convertirse en el mejor postor. Esta situación preocupa a buena parte de la industria ya que incluso sin ayudas, por sus propios medios, los ciberdelincuentes han mejorado tremendamente sus técnicas de ataque y lo demuestran en cada una de sus acciones. El problema es que no existe una regulación clara acerca de la venta de vulnerabilidades de software. ¿Es ético? ¿Debería permitirse o no? En países como los Estados Unidos se trata de una práctica perfectamente legal; en otras potencias como Alemania ya han tomado cartas en el asunto y se prohíbe incluso su distribución gratuita.

Entre la amalgama conformada por los dueños de los programas, los hackers y los ciberdelincuentes, hay empresas tipo iDefense o Zero Day Inititative que actúan de intermediarios, obteniendo los bugs directamente de manos de sus descubridores para después revenderlos a los fabricantes del software afectado. Y otras como Endgame Systems, Netragard y Vupen Security aprovechan el sistema de compra-venta con mayor inteligencia, ya que tienen entre sus clientes a grandes corporaciones y agencias gubernamentales. Estas últimas utilizan los datos sobre vulnerabilidades para acceder a ordenadores y móviles de sospechosos de crímenes y espionaje. No en vano, la comercialización de bugs comenzó cuando un trabajador de la Agencia de Seguridad Nacional estadounidense, Charlie Miller, encontró un error en Linux y el gobierno lo compensó con 80.000 dólares.

Por último, está el grupo de “corredores de errores” que negocian acuerdos beneficiosos para los hackers que encuentran fallos de seguridad y se quedan con comisiones que pueden rondar el 15% del precio total. ¿La información más demandada? Aquella que afecta a software extendido por todo el mundo, desde Windows y Office hasta iOS, pasando por los navegadores web. Parece que las posibilidades del mundo de los bugs informáticos no tienen fin.