Un cazarrecompensas mexicano en el salón de la fama de la ciberseguridad
El objetivo de Jonathan es fortalecer la ciberseguridad de las empresas y no cometer ciberdelitos. RootByte, como se le conoce dentro de la comunidad hacker, sobre todo en América Latina.
Rodrigo Riquelme
Jonathan Paz lleva una doble vida. Por el día, trabaja como analista de tráfico web para una firma de entretenimiento trasnacional; por la noche, gusta de hackear los sistemas informáticos de todo tipo de empresas alrededor del mundo.
El objetivo de Jonathan es fortalecer la ciberseguridad de las empresas y no cometer ciberdelitos. RootByte, como se le conoce dentro de la comunidad hacker, sobre todo en América Latina, ocupa el primer lugar en el salón de la fama de Boxug, una empresa colombiana que conecta a compañías y entidades gubernamentales con hackers de toda la región para que estos descubran vulnerabilidades dentro de sus sistemas, una actividad conocida como bug bounty.
Hasta el momento, RootByte ha detectado al menos 92 vulnerabilidades en alguna de las startups latinoamericanas que participan en el programa de Boxug, lo que lo coloca muy por encima de otros hackers que han reportado hallazgos dentro de la plataforma. De acuerdo con su propia estimación, una de cada tres compañías para las cuales ha realizado pruebas de seguridad es mexicana y está convencido de que este tipo de programas son el futuro de la seguridad cibernética.
“No importa si tienes cinco, 10 o 100 personas en tu equipo de seguridad informática; por más que lo intenten, su capacidad de análisis e investigación nunca se va a comparar con la que pueden ofrecer miles de hackers alrededor del mundo”, dijo Jonathan Paz en entrevista con El Economista.
El bug bounty no es una actividad nueva. Se realiza desde hace al menos dos décadas. Fue en 1995 cuando la compañía creadora del navegador Netscape lanzó por primera vez un programa de recompensas en el que llamaba a los aficionados de sus productos a detectar vulnerabilidades de ciberseguridad dentro del código de estos. Desde entonces, muchas empresas, entre las que se puede contar a Facebook, Google y Microsoft, han lanzado sus propios programas de bugbounty o se han apoyado en otras compañías, como Hackerone y Boxug, para que los administren por ellas.
“El mercado de la ciberseguridad se está moviendo hacia los programas recompensa por detección de vulnerabilidades”, dijo José Pino, fundador y director de Boxug en entrevista con El Economista.
De acuerdo con Bugcrowd, otra plataforma basada en Estados Unidos que administra este tipo de programas de recompensa, las retribuciones económicas por detección de vulnerabilidades se duplicaron tan sólo en el último año, lo mismo que la tarifa promedio pagada por las empresas. Incluso, entidades de gobierno como el Pentágono de Estados Unidos han lanzado este tipo de iniciativas con las que han encontrado cientos de vulnerabildides en sistemas que contienen información altamente sensible, retribuyendo a los cazarremcompensas con más de 200,000 dólares en total.
En el caso de Jonathan, la primera vulnerabilidad que descubrió de forma profesional fue a través del programa de recompensas de Magento, la popular plataforma de e-commerce utilizada por cientos de miles de sitios web en todo el mundo, que ofrece retribuciones desde 100 hasta 5000 dólares por vulnerabilidad encontrada.
Este hacker de sombrero blanco ha participado en otras plataformas de bugbounty que en su mayoría se dedican a detectar vulnerabilidades en mercados europeos y estadounidenses, en donde esta estrategia se ha convertido en una pratica habitual de las empresas, como las ya mencionadas Hakcerone y Bugcrowd.
“Nunca había visto que alguien se arriesgara a abrir una de estas plataformas para empresas de América Latina hasta que conocí a José Pino de la colombiana Boxug”, dijo Jonathan Paz.
rodrigo.riquelme@eleconomista.mx
Fuente: https://www.eleconomista.com.mx/
Fecha de consulta: 04 diciembre 2017
