Cómo los hackers éticos ganan dinero a costa de Google y Apple encontrando fallos de seguridad en sus sistemas

Última actualización el 07/04/2020 a las 15:21

A pesar de que en las películas son pintados como los malos, los hackers en realidad no tiene por qué serlo. En realidad, eso que vemos en las películas son crackers.

Los hackers, a los que comúnmente llamanos hackers éticos para diferenciarlos de los “hacker malos” en realidad tienen como finalidad ayudar –o ganar dinero ayudando–.

Eso es lo que hacen muchos, y reciben jugosas recompensas de empresas como Facebook, Apple o Google.

hacker etico

Hay hackers éticos, también conocidos como de sombrero blanco, que se dedican no a otra sino a buscar fallos en los sistemas operativos y aplicaciones en busca de dinero.

Centran su tiempo en buscar vulnerabilidad de día cero –es decir, vulnerabilidades desconocidas tanto al público como al propio fabricante– para reportarlas a las compañías y, de este modo, pedir una recompensa.

Además, también se celebran eventos y concursos cuya finalidad es ver quién consigue más vulnerabilidades.

Te interesa | El adolescente que hackeó a la CIA y al FBI tendrá que pagarlo muy caro

Programas de recompensa: cuando las empresas pagan a los hackers por encontrar fallos

Pero no es que cantajeen a las compañías con publicar fallos, sino que esas empresas tienen programas de recompensas en los que, precisamente, ofrecen premios a esas personas que han reportado fallos con buena fe.

Según podemos encontrar en la página web de Apple, por ejemplo, la compañía californiana ofrece hasta un millón de dólares de recompensa a aquellas personas que puedan reportar ciertos tipos de errores en el código de sus dispositivos.

Pero, como es de esperar, debe cumplirse varias condiciones. En el caso de Apple son las siguientes: la persona debe ser, evidentemente, la primera en reportarlo; no se debe hacer público hasta que Apple genere un aviso de seguridad público; y si el fallo es detectado en una versión de prueba o aún en desarrollo, la recompensa se reducirá hasta la mitad.

kernel de Android

Para conseguir la recompensa máxima de Apple –1 000 000 de dólares– tendremos que ser capaces de encontrar un error en algún sistema operativo de la compañía que sea capaz de ejecutarse en el kernel sin que el usuario tenga que hacer nada.

Pero que se descubra un error no quiere decir que se pague la cuantía máxima; en realidad, el pago mínimo es de 5000 dólares, e irá creciendo en función de varios factores, en los que presumiblemente encontraremos el detalle con el que se ha explicado el problema y la importancia de este para la seguridad.

En Google existe un programa muy parecido, solo que las recompensas son mucho menores: ciertos problemas solamente se pagan con hasta 100 dólares.

Por lo que, como vemos, hay compañías más rentables que otras en cuanto a encontrar fallos se trata; no obstante, debemos tener en cuanta que, cuanto más se pague, más personas habrá detrás buscando fallos.

Apple, la que más paga

No obstante, no siempre se consigue recompensa. Hace unos años se hizo muy sonado un caso de una persona que hackeó el perfil de Facebook de Mark Zuckerberg –el fundador y CEO de la compañía–.

De ese modo, pretendía demostrar que existía una vulnerabilidad llamando la atención. Lo hizo porque había contactado numerosas veces con Facebook acerca de ese problema, sin respuesta alguna, decidiendo pasar a la acción.

Como es de esperar, se quedó sin recompensa.

Te interesa | Cómo un hacker-cazarecompensas puede localizar cualquier móvil por solo 300 dólares

Un buen ejemplo de ello es cuando hace unos días Apple recompensó a una persona con 75 000 dólares por haber encontrado una vulnerabilidad de día cero en la cámara de los iPhone.

El hacker, un antiguo ingeniero de seguridad de Amazon Web Services encontró siete fallos en Safari y los reportó en diciembre del año pasado, tres de los cuales podían usarse para controlar la cámara del dispositivo –no solo en iOS, sino también en macOS–.