Santiago López es la primera persona que sobrepasa el millón de dólares en recompensas por encontrar vulnerabilidades en la plataforma HackerOne.
Por Pablo G. Bejerano para Think Big. El argentino Santiago López se adentró en el mundo del hacking hace relativamente poco. Hace tan solo tres años, a raíz de ver la película noventera 'Hackers', donde unos adolescentes combaten en el ciberespacio bajo un guión ingenuo. El joven tiene 19 años y ya es un experto hacker consagrado como cazarecompensas de vulnerabilidades.
A partir de su primer contacto con el hacking, López se sintió fascinado y se lo tomó en serio. Tanto que estableció un método de trabajo riguroso. Conoció la plataforma HackerOne, donde participan un buen número de compañías, que pagan una recompensa a cambio de que les señalen vulnerabilidades en sus productos. Y López hizo de su creciente afición un empleo. Todos los días dedica entre 6 y 7 horas a intentar hackear productos.
Esta metodología y su talento natural –aprendió por su cuenta, leyendo blogs y viendo vídeos en Internet– le han llevado a ser la primera persona en superar el millón de dólares en HackerOne. En total ha encontrado más de 1.670 vunerabilidades. Entre las empresas a las que ha alertado sobre fallos en sus sistemas están nombres como Twitter, WordPress o Verizon.
El joven, que ha recibido una mención especial por parte de HackerOne, se ha especializado en encontrar bugs que pueden permitir a un hacker –de los malos, en este caso– sobrepasar los procesos normales de una aplicación para acceder directamente a recursos protegidos, como archivos y registros de bases de datos.
Cantidad sobre calidad
En un momento en el que abundan las grandes filtraciones de datos, como ha ocurrido en 2018, parece que las empresas se debieran centrar en asegurar las puertas de entrada a su información protegida. Se trata de evitar que haya grandes agujeros de seguridad que puedan ser explotados.
Sin embargo, López siempre se ha centrado en los pequeños fallos, que a veces pueden abrir grandes puertas. Su primera recompensa la obtuvo con 17 años: 50 dólares por un bug, al que después seguirían muchos otros.
Él prefiere buscar pequeños retos antes que acometer grandes proyectos. Su recompensa más alta han sido US$9.000, por una vulnerabilidad de servidor que permitía tomar control remoto del mismo.
Desde luego, a López no le faltará el trabajo en los próximos años. Las tendencias indican que la ciberseguridad se convertirá en una prioridad creciente de las empresas con los años venideros.
*Imagen de portada por HackerOne