Cómo los "hackers éticos" ganan dinero a costa de Google y Apple
No todos los hackers se dedican al ciberdelito, también hay de los buenos
A pesar de que en las películas son pintados como los malos, los hackers en realidad no tiene por qué serlo. En realidad, eso que se ven en las películas son crackers.
Los hackers, a los que comúnmente se los llama hackers éticos para diferenciarlos de los "hacker malos" en realidad tienen como finalidad ayudar --o ganar dinero ayudando--. Eso es lo que hacen muchos, y reciben jugosas recompensas de empresas como Facebook, Apple o Google.
Hay hackers éticos, también conocidos como de sombrero blanco, que se dedican no a otra sino a buscar fallos en los sistemas operativos y aplicaciones en busca de dinero. Centran su tiempo en buscar vulnerabilidad de día cero --es decir, vulnerabilidades desconocidas tanto al público como al propio fabricante-- para reportarlas a las compañías y, de este modo, pedir una recompensa. Además, también se celebran eventos y concursos cuya finalidad es ver quién consigue más vulnerabilidades.
Programas de recompensa: cuando las empresas pagan a los hackers por encontrar fallos
Pero no es que cantajeen a las compañías con publicar fallos, sino que esas empresas tienen programas de recompensas en los que, precisamente, ofrecen premios a esas personas que han reportado fallos con buena fe.
La compañía californiana ofrece hasta un millón de dólares de recompensa a aquellas personas que puedan reportar ciertos tipos de errores en el código de sus dispositivos. Pero, como es de esperar, debe cumplirse varias condiciones.
En el caso de Apple son las siguientes: la persona debe ser, evidentemente, la primera en reportarlo; no se debe hacer público hasta que Apple genere un aviso de seguridad público; y si el fallo es detectado en una versión de prueba o aún en desarrollo, la recompensa se reducirá hasta la mitad.
Para conseguir la recompensa máxima de Apple --un millón de dólares-- los hackers deben que ser capaces de encontrar un error en algún sistema operativo de la compañía que sea capaz de ejecutarse en el kernel sin que el usuario tenga que hacer nada. Pero que se descubra un error no quiere decir que se pague la cuantía máxima; en realidad, el pago mínimo es de 5000 dólares, e irá creciendo en función de varios factores, en los que presumiblemente cuentan el detalle con el que se ha explicado el problema y la importancia de este para la seguridad.
En Google existe un programa muy parecido, solo que las recompensas son mucho menores: ciertos problemas solamente se pagan con hasta 100 dólares. Por lo que hay compañías más rentables que otras en cuanto a encontrar fallos se trata; no obstante, se debe tener en cuanta que, cuanto más se pague, más personas habrá detrás buscando fallos.
Apple, la que más paga
No obstante, no siempre se consigue recompensa. Hace unos años se hizo muy sonado un caso de una persona que hackeó el perfil de Facebook de Mark Zuckerberg --el fundador y CEO de la compañía--. De ese modo, pretendía demostrar que existía una vulnerabilidad llamando la atención. Lo hizo porque había contactado numerosas veces con Facebook acerca de ese problema, sin respuesta alguna, decidiendo pasar a la acción. Como es de esperar, se quedó sin recompensa.
Un buen ejemplo de ello es cuando hace unos días Apple recompensó a una persona con 75 mil dólares por haber encontrado una vulnerabilidad de día cero en la cámara de los iPhone. El hacker, un antiguo ingeniero de seguridad de Amazon Web Services encontró siete fallos en Safari y los reportó en diciembre del año pasado, tres de los cuales podían usarse para controlar la cámara del dispositivo --no solo en iOS, sino también en macOS--.