Google te paga 1.000 dólares si logras hackear Tinder

Netscape fue el primero y muchos otros lo siguieron. Corría 1995 y el buscador acababa de iniciar, gracias a su programa de Bug Bounty (Caza al bicho), una práctica que con el tiempo imitarían las grandes empresas de tecnología del futuro. La empresa puso a disposición del público el código del software para que todos los interesados descubriesen posibles errores o bugs en el programa. De ahí el nombre.

En aquella primera vez, los dueños del buscador no especificaron recompensa alguna para los hunters (del inglés, cazadores), aunque dependiendo del error encontrado, los usuarios serían remunerados con premios en metálico variables.

Han pasado 22 años y los programas Bug Bounty siguen llamando a la puerta de los programadores de todo el mundo. También a los hackers de sombrero blanco, esos que se dedican a hacer el bien en Internet. Precisamente a estos son a los que convoca Google, una compañía que alberga más de tres millones de aplicaciones en la Google Play pero que cuenta nuevos casos de apps infectadas cada mes.

Ese es el propósito que se esconde detrás de la iniciativa: hacer desaparecer el alto número de apps que contienen malware y que en agosto, por ejemplo, ayudaron a la red de dispositivos zombis WireX (una botnet) a tomar el control de 120.000 dispositivos. Estos, después, lanzaban ataques DDoS (denegación de servicio) a los servidores del propio Google, Cloudfare, Flashpoint u Oracle Dyn, entre otros. Hasta ahora se han adherido al programa 13 aplicaciones entre las que se encuentran algunas como Tinder, Alibaba, Mail.ru, LINE, Duolingo, Dropbox, Snapchat o Headspace.

1.000 euros por tus vergüenzas

Todas las aplicaciones se pondrán a disposición de los programadores para que estos encuentren bugs allí. Esto quiere decir que ellos no podrán provocarlos, sino que tendrán que rastrear el software elegido (sin tener acceso al código de la app) para comprobar si estas tienen o no fallas de seguridad.

Solo hay dos requisitos para participar en el concurso, según Google: “El alcance de este programa está limitado a vulnerabilidades RCE (ejecución de código remoto) y los correspondientes POCs (Pruebas de concepto) que funcionan en dispositivos Android 4.4 y superiores”. Una RCE es una intrusión no autorizada en un sistema por parte de un hacker y la POC sería la evidencia que dejaría para demostrar que verdaderamente ha sido él o ella quien ha entrado. Por otro lado, tampoco será posible utilizar ningún tipo de app para descubrir los bugs en las aplicaciones que participan en el Bug Bounty.

Una vez que sean notificadas, los hackers éticos se pondrán en contacto con los desarrolladores de las apps para trabajar con ellos y solucionar el problema. Después, Google les recompensará hasta con 1.000 dólares, una cantidad que está lejos del dinero que ofrecen en otros programas de la multinacional para “cazar” bugs diferentes. Y es que si alguien es capaz de ejecutar código en remoto en una de las apps de la tienda y hacerse con el control de una cuenta @gmail, después de demostrarlo, la compañía llega a pagar hasta 31.337 dólares.

Los 1.000 dólares no será el único dinero que cobren los hackers por resolver problemas. Según explica Google en HackerOne, la compañía con la que colaborará en el Bug Bounty, el equipo de Seguridad de Android también ofrecerá “una recompensa adicional para agradecerles la mejora de la seguridad en el ecosistema Google Play”.

Jobert Abma de hunter a grinder

huntergrinder

Precisamente HackerOne es una empresa creada por un ganador de varias Bug Bountys aunque no fueran concursos patrocinados por ninguna compañía. En el 2012, Jobert Abma fundó la firma de ciberseguridad que hoy se coordina con Facebook, Google y Microsoft.

Con solo 18 años, en la universidad, hackeó un canal de televisión interno y le regaló la contraseña y el usuario de acceso a su mejor amigo. Luego descubrió un agujero de seguridad en el servidor central que permitía a cualquiera acceder al expediente de todos los alumnos, algo que le valió un contrato con la Hanze University, donde estudiaba, para trabajar con ellos.

Pero sin duda, su habilidad explotó cuando retó a la mayoría de empresas de los Países Bajos a que era capaz de romper su seguridad en menos de una hora. Les dijo que si no era capaz de hacerlo compraría la mayoría de sus acciones pero que si lo conseguía, los directores de cada gran compañía del país de los tulipanes y los molinos tendrían que sentarse a hablar con él. Al poco, tenía ofertas millonarias del gobierno, bancos y aseguradores, entre otras.

Por aquel entonces tenía 20 años y aún estaba en la universidad. Así que decidió irse a vivir a San Francisco y fundar HackerOne junto a dos amigos. Hasta hoy, su empresa ha ayudado a más de 20.000 compañías, ha arreglado 56.000 bugs y ha pagado 22 millones de dólares en recompensas a otros bug hunters.