En las últimas décadas del siglo XX, la palabra hacker se asociaba con una subcultura de pioneros digitales. En los primeros años del siglo XXI, el término ha ido evolucionando hasta ser sinónimo de carrera profesional.
Los hackers son un perfil muy codiciado en empresas de todo tamaño y pelaje. Desde las grandes tecnológicas que quieren garantizar que sus productos y servicios están segurizados hasta firmas medianas que son conscientes de que en un mundo prácticamente digitalizado los desafíos en la red son enormes.
La irrupción de los hackers en el mercado laboral es un fenómeno todavía relativamente reciente, pero ya ha generado debates intensos sobre competencias, supuesta falta de talento y problemas de salarios. Desde instituciones y el sector privado se incide desde hace lustros en que faltan profesionales.
Los profesionales, por su parte, entienden que lo que faltan son salarios dignos.
Mientras ese dilema se enquista —el sindicato UGT ya advirtió en un informe el año pasado que 2 de cada 3 vacantes en empresas tecnológicas no se cubrían por los bajos salarios—, la posibilidad de hacer carrera por cuenta propia se ha acabado imponiendo como una alternativa real.
En los últimos años han aparecido multitud de plataformas de bug bounty, programas que organizan o estas mismas intermediarias o las propias empresas con los que se recompensan a los expertos en ciberseguridad que detecten y reporten vulnerabilidades. Gracias a estas bug bounties, muchos hackers cazarrecompensas han conseguido botines millonarios.
Hay casos de éxito en el mundo del ‘bug bounty’, pero no son la mayoría
Se conocen varios casos de éxito. Carlos Rivero es un joven barcelonés que dejó su empleo por cuenta ajena para dedicarse a tiempo completo a estas partidas a la búsqueda de vulnerabilidades en empresas registradas en HackerOne y la jugada le ha salido bien: gana mucho más que cualquiera de sus amigos y ha podido comprarse su primer piso en la Ciudad Condal.
Pero el propio Rivero, en conversación con Business Insider España, reconocía el factor suerte y sobre todo la constancia como 2 de las características claves que le han llevado al éxito en esta singular disciplina del hacking. Él conoce casos de compañeros que probaron suerte y lo dejaron al cabo de unas semanas frustrados por no haber conseguido dar frutos de sus pesquisas.
También reconoce similitudes en su trabajo y en el de streamers de Twitch, uno de los principales paradigmas de los creadores de contenido que han logrado hacerse financieramente independientes gracias a las comunidades de seguidores que les apoyan. Aunque de igual modo que encuentra similitudes, también detecta diferencias.
«Me siento identificado con el trabajo de streamer, solo que lo mío es más sencillo porque no se tiene la obligación de estar ahí siempre cada día: puedes trabajar cuando quieras. Si quieres sacar más dinero puedes trabajar un poco más», apuntaba.
Es fácil frustrarse en el ‘bug bounty’: «Hay que cuidarse mucho la cabeza con esto»
Sin embargo, no todo el mundo puede dedicarse a tiempo completo a las bug bounties ni facturar decenas de miles de euros al mes por encontrar grandes vulnerabilidades a las mayores empresas del globo. El sector está cada vez más competido. Como sucede justo con los streamers. No todo el mundo puede ser Ibai Llanos, el popular creador de contenidos vasco.
Otro de los hackers españoles que participan en bug bounties con los que ha contactado este medio es Roberto, conocido en estas plataformas como Darkandroider. Tiene 41 años y aterrizó en el mundo de las bug bounties en 2018, pero la mayor parte de sus ingresos siguen siendo su nómina, su trabajo por cuenta ajena.
«La gente que tiene 2 trabajos como yo lo que vemos es que podemos ganar mucho más que en una empresa. Los sueldos en España no son lo mejor, son bastante medios. Una persona que se dedique al bug bounty y tenga conocimientos puede sacar muchísimo más. Lo veo como un añadido. Dedicarme al 100% al bug bounty no es mi objetivo», explicaba.
No lo es, porque como él mismo explica, su objetivo es «tener algo seguro» y luego «algo» que le permita «practicar». «Me apetece más estar relajado con la familia. A lo mejor a la semana puedo sacar 2 horas o una madrugada en algún fin de semana» para dedicárselas a un programa de bug bounty.
«Al final es un hobby, no quiero hacerme rico. Y encima te permite aprender y te mantiene actualizado». El mayor botín de un solo golpe para Darkandroider fueron 2.000 euros. Sin embargo, sus ingresos extra a veces pueden ser cantidades importantes. «Algunos meses, combinando varios reportes, sí he podido obtener 5.000 euros».
El problema es que es fácil frustrarse. Es un mundo en el que se ven cómo algunas vulnerabilidades se premian con cantidades desorbitadas de dinero.
«Esa información te bombardea todos los días y te pones a buscar, sin éxito. Otro día tampoco encuentras nada y entras en un círculo vicioso de frustración. La gente se cree que esto es llegar y empezar a encontrar cosas. Y te quemas. Llega el burnout. Hay que tener cuidado con eso», advierte.
«Hay que cuidarse mucho la cabeza con esto», confirma Omar Benbouazza, uno de los organizadores de la RootedCON, uno de los eventos de ciberseguridad más seguidos de España. «Es exactamente lo mismo que pasa con influencers, streamers o creadores de contenido. Le dedican tantas horas porque quieren seguir creciendo que rompen por algún lado. Se tienen que cuidar».
Benbouazza, que además ofrecía en este medio varios consejos para iniciarse en el mundo de las bug bounties, cree que es imprescindible el advertir del riesgo a la salud mental que puede suponer aterrizar en el terreno de las recompensas por reportar vulnerabilidades sin formación ni un importante ajuste de expectativas previo.
«Es importante mencionar que he visto a mucha gente quemada«, apunta.
«Dejar tu trabajo para focalizarte en esto y que tus ingresos dependan de lo que encuentres significa que le vas a dedicar muchísimas más horas de lo que le dedicabas cuando lo compaginabas con un trabajo fijo». «He visto gente que curra más de 20 horas al día y eso no se puede hacer a largo plazo. Gente que era muy activa y ha tenido que parar, y lleva un año fuera de todo esto».