Como en una película del Oeste, Google acaba de prometer recompensas de 370 euros por cazar no forajidos, sino fallos de seguridad en su navegador Chrome. La práctica de dar dinero a quien encuentre estos agujeros, llamados bugs en la jerga informática, es cada vez más habitual y ha creado un mercado en el que participan los mejores programadores del planeta.
Rubén Santamarta es el cazabugs, o ya puestos, el cazabugeros español más conocido. Es de León, autodidacta, tiene 27 años y entró en este mundo hace tres. "Cuando empecé no sabía que había empresas que pagaban por ello, lo que me llamaba la atención era el reto de buscar fallos en los sistemas", explica. Hoy asegura vivir de esto: "Con encontrar un par de bugs al año en programas conocidos ya no tienes que preocuparte".
La profesión de Santamarta es muy minoritaria. En España hay otros como él, "no muchos, aunque muy buenos; tienen otros trabajos y no se dedican por completo a esto". Suelen ser hombres, adolescentes o veinteañeros, que lo hacen por afición. La mayoría de los cazabugeros viven en Estados Unidos (un 25%), el Reino Unido (5%), Alemania e India (4%) y Francia, Brasil y España (3%), según Tipping Point, una de las empresas de seguridad que pagan a quien le lleve el mejor bug.Encontrar un agujero puede ser cosa de horas o de semanas. En teoría es más fácil hallarlos en programas libres, ya que su código fuente es público, pero como contrapartida hay más gente buscando. Los programas propietarios como Windows, la especialidad de Santamarta, tienen la dificultad añadida de que primero hay que inferir su código, pues éste no es público.
Los cazabugeros no suelen trabajar por encargo. "Soy yo el que inicia el análisis del programa que considero más interesante", afirma Santamarta. Este análisis consiste, por una parte,en inferir el código del programa mediante ingeniería inversa, para así poder buscar errores en él, y por otra, en aplicarle técnicas de fuzzing: "Probar multitud de opciones hasta que alguna hace cascar al programa".
Los fallos más rentables, explica Santamarta, "están en los programas del lado cliente para sistemas Windows". Van muy buscados los agujeros que pueden aparecer al visitar una página web o al abrir un documento PDF, DOC, Power Point o Excel.
Una vez descubierto el fallo, lo vende a empresas de seguridad, que usarán esta información para mejorar sus programas de detección de intrusos, ya que cuantas más vulnerabilidades conozcan, más protegidos estarán sus clientes.
Las principales empresas compradoras son Zero Day Initiative (de Tipping Point, de 3Com), iDefense (de Veri Sign) e iSight Partners. En estas empresas trabajan algunos cazabugeros reconocidos, como Aaron Pornoy (Zero Day Initiative). Otros se agrupan en torno a proyectos de detección de vulnerabilidades, como Secunia, Vupen y Core, o el libre Metasploit, creado por el hawaiano HD Moore para contrarrestar el gran número de herramientas de pago que explotan fallos informáticos.
Pero la mayoría va por libre, como Santamarta o Alexander Sotirov, descubridor de importantes fallos en Windows Vista y, junto con un grupo internacional de expertos, de un agujero en la función criptográfica MD5, que permite crear autoridades de certificación falsas. En esta ocasión no vendieron el agujero, sino que lo presentaron en el Chaos Communication Congress de 2008.
Cuando el investigador ha informado del bug a la empresa de seguridad, ésta avisa a la compañía creadora del programa vulnerable, la cual tarde o temprano publicará un parche. Es tarea de la empresa de software encontrar la solución al problema, aunque algunos cazadores ofrecen parches o su consejo para resolverlo.
La historia no siempre acaba con un parche, asegura Santamarta. "Hay canales de mercado, como algunos Estados y corporaciones, donde el bug vendido nunca llegará a conocerse. La ciberguerra y el espionaje industrial no son ninguna quimera". En los últimos tiempos, los gobiernos se han convertido en los mejores compradores de fallos, llegando a pagar hasta un millón de dólares, según Pedram Amini, de Tipping Point.
Los cazabugeros con poca ética tienen otro importante cliente en el cibercrimen. No es el caso de Santamarta, aunque asegura haber recibido tentadoras ofertas: "Más de 20.000 dólares para cosas normalitas; en una ocasión ni siquiera pusieron límite. Ni me digno en contestarles".
Lo más buscado en el mercado negro es un tipo especial de agujero, los odays, que afectan a programas importantes y para los que no existen parches porque el fallo no se ha hecho público, sólo lo conoce el investigador o un pequeño círculo. Los odays pueden usarse para ataques sin defensa posible a priori, como el espionaje a empresas.
Su valor es muy alto, aunque hay un gran hermetismo en cuanto a los precios que se pagan. Hace unos años, un oday que afectaba a los iconos .ANI de Windows se vendía a 5.000 dólares en el mercado negro. Otros superan con creces esta cantidad, sobre todo si afectan a programas muy populares, como Internet Explorer y Firefox.
Algunos agujeros no se venden, sino que se hacen públicos en conferencias de seguridad informática, como la Black Hat. Es la vertiente más lúdica de los cazabugeros: investigar fallos por diversión y hacerlos públicos gratuitamente. Así desveló Santamarta que un sistema de lotería español podía falsificarse.
En el otro extremo del negocio de los bugs están las empresas responsables de los programas vulnerables. "Las empresas de software son las menos interesadas en incentivar a gente externa para que busque vulnerabilidades en sus productos", afirma Santamarta. Por eso los programas que recompensan a estos llaneros solitarios son escasos y todos de código abierto: Mozilla, Ghostscript, Qmail y ahora Chrome, de Google. Pagan un estándar de 370 euros por bug, cantidad "ridícula", a juicio de Santamarta.
La falta de alicientes económicos y el riesgo de ser amonestados ha provocado que cada vez sean menos los cazabugeros que informan directamente a la empresa de software de los fallos que encuentran. Se quejan, además, de que la empresa les pide que guarden silencio mientras ella crea un parche que puede tardar meses o no publicarse nunca, ante la impotencia del investigador que ve como el agujero sigue abierto.