Todo empezó en Las Vegas hace diez años. Francisco Correa (34), cuando participaba en un conocido evento de ciberseguridad con los mejores hackers del mundo, se dio cuenta de que era el único participante que hablaba español. “Había muy pocos latinos, los otros eran de Europa y Estados Unidos. Ahí empecé a notar que estaba solo en esto”, relata.

Y aunque tenía las ganas de hacer algo para revertir esa situación, no lo concretó. Pasaron muchos años sin ninguna noticia, pero en 2017 todo cambió: invirtió sus ahorros, contrató programadores y nació Vulnscope, la primera empresa de bug bounty (programa que entrega recompensas al encontrar vulnerabilidades informáticas) en Latinoamérica.

Actualmente tienen más de 900 hackers registrados y decenas de empresas adheridas, entre las cuales se encuentran importantes firmas de telecomunicaciones y finanzas. “Es totalmente confidencial quiénes están dentro, ya que estas compañías justamente buscan encontrar errores en sus plataformas digitales”, cuenta Correa.

Entre sus desafíos, advierte, es conquistar a empresas pequeñas ya que en estos tres años no lo ha logrado. Según Correa, “no están muy interesadas en la seguridad digital”.

Por lo general las compañías que quieren encontrar vulnerabilidades se acercan a Vulnscope e invierten dinero para las recompensas. Desde ese momento un séquito de hackers trata, por todos los rincones, de captar errores en los servidores. Una vez encontrados, realizan un reporte y reciben la retribución económica.

Cada pago se realiza de acuerdo al nivel del hallazgo. Hay cuatro niveles de vulnerabilidades encontradas: bajas, medias, altas y críticas.

Según el gerente general de la compañía, con US$ 5 mil invertidos se pueden encontrar entre 30 a 40 vulnerabilidades. La plataforma funciona con crowdsourcing, es decir, una externalización de los servicios y sin contratos de por medio. “Los hackers pueden trabajar cuando ellos quieran y cuantas veces estimen conveniente”, confirma.

El hacker de Google

A finales de los ´90 su padre llegó con un computador de regalo y fue amor a primera vista. Comenzó con los virus y a desarmar las máquinas. Nunca más paró. Partió su carrera como muchos: enviando virus de computador a sus familiares y luego se fue perfeccionando. Pero fue un viaje a Nueva Zelanda lo que cambió todo. Ahí aprendió inglés y se le abrieron las puertas del mundo de la programación.

Pero el punto pivotal en su carrera fue con Google. “Ellos invitaron a que los hackearan y si lo lográbamos nos iban a pagar”, asegura. “Esa semana gané 20 mil dólares. Le conté a mi familia y todos estuvieron contentos. Eso me motivó y encontré a otras empresas que ofrecían cosas parecidas”.

Lo que vino después fue un ascenso rápido. Comenzó a trabajar para gigantes tecnológicas como Yahoo, Adobe y Microsoft y en solo un par de años ya estaba dentro de los diez mejores hackers del mundo. A lo largo de quince años logró estar en el salón de la fama de empresas como Uber, Paypal, Oracle, Vimeo y Twitter.

Durante gran parte de su carrera estuvo dentro del mundo del bug bounty como freelancer, pero luego distintas empresas lo contrataron a tiempo completo. Actualmente es un consultor de seguridad senior en una firma de ciberseguridad en Nueva York que tiene una gran cartera de clientes.

Uno de esos clientes es una grande empresa de medios de comunicación. “Yo me junto con el equipo del diario y me cuentan las nuevas cosas que sacaron, como el sistema de suscripción de clientes. Ahí me piden que lo revise”, asegura. Y agrega que ve “muchos códigos para empezar a implementar distintos métodos de seguridad”.

“El caos”

“Mi objetivo con Vulnscope es fomentar al hacker, no ocultarlo. Quiero que se haga conocido, que construya una reputación porque lo más importante en la ciberseguridad es tener experiencia”, cuenta el fundador, quien piensa que existe mucho potencial en Latinoamérica.

Eso sí, es tajante en su opinión sobre la situación actual: a su juicio todavía falta que las empresas cambien sus prioridades e inviertan más en la seguridad digital. “Cada día se crean nuevos emprendimientos y hay que incentivar que se preocupen de la ciberseguridad. Esto en el futuro será muy importante, igual que los guardias o las cámaras de vigilancia. Si no, habrá caos”, asegura.

Correa dice que no basta con tener un equipo informático interno en las compañías. Si bien son importantes, pueden pasar por alto ciertas amenazas. Es acá cuando el bug bounty juega un rol importante: permite tener a cientos de personas tratando de encontrar errores en los servidores o sistemas informáticos.

“Nos falta mucho por delante. Hay que implementar nuevas formas de trabajar para estar al día con lo último de los ataques de seguridad porque este mundo no duerme. Siempre va a haber alguien tratando de acceder a la información de otro y la única forma de combatir eso es usar el internet contra el internet”, alerta Correa.