Santiago López tiene 19 años y es un hacker de sombrero blanco. Es decir, que se dedica a encontrar vulnerabilidades en equipos o sistemas operativos y luego los reporta para que las compañías afectadas encuentren una solución al problema. De esa manera combate a los otros: los hackers "malos", o de sombrero negro.
Santiago aprendió a hackear por su cuenta, siguiendo tutoriales online. Desde los 16 años participa de los programas bug bounty, que impulsan muchas compañías como Apple, entre muchas otras, y que consiste en ofrecer recompensas económicas a los hackers que encuentran fallas en los sistemas. De ese modo se aseguran de protegerse de posibles ataques.
En apenas tres años de trabajo ya reportó 1.600 vulnerabilidades, y así ganó un millón de dólares. Es el primer hacker ético en alcanzar este hito, según dice.
Entrevistado por Infobae contó cómo fueron sus primeros pasos en este mundo que describe como "apasionante". Habló sobre sus planes para el futuro y explicó cómo son sus jornadas laborales.
"Estudié siempre en escuela pública, quiero remarcar eso, me parece importante. Fui a la escuela Federico García Lorca, distrito escolar 14, de Agronomía, donde hice el bachillerato con orientación en humanística", dice, cuando se le pregunta por su formación.
El interés por la computación surgió por inquietud personal. Dice que desde pequeño se la pasa frente a las computadoras. Y la película Hackers (estrenada en 1995 y dirigida por Iain Softley) también lo motivó a adentrarse en este mundo de la informática.
Aprendió inglés en un establecimiento del Estado. Más específicamente en el C.E.C.I.E N°23 (Centros Educativos Complementarios de Idiomas Extranjeros), según cuentan él y sus padres, que lo acompañaron a la entrevista. Su madre es docente, y su padre, empleado administrativo. Los dos se muestran muy orgullosos de su hijo.
Y remarcan, al igual que Santiago, el valor de la educación pública. Sin escuelas gratuitas sería difícil, incluso imposible, para muchos lograr capacitarse, aprender, acceder a una posibilidad. Es el gran motor para alcanzar la movilidad social. El resto dependió de la contención familiar y de la fuerza de voluntad, aclaran.
—Vos sos un hacker de sombrero blanco, o hacker ético, ¿podrías describir de qué se trata?
—Un hacker de sombrero blanco sería el hacker bueno, el hacker que hace acciones legales para ayudar a los clientes, a las compañías. Obviamente siempre hay un pago, pero, en sí, el hacker bueno no hace acciones ilegales.
—¿Alguna vez pensaste en convertirte en hacker de sombrero negro?
—Más que nada al principio me tentó un poquito ese lado, pero después me acordé que podía ir a la cárcel y no lo hice.
—¿Los que deciden ir al "lado oscuro" lo hacen porque creen que hay más posibilidad de ganar más dinero o no es tan así?
—Yo creo que sí, muchas personas deben pensar que si sos un hacker malo vas a ganar mucho dinero, si sos exitoso en algún robo; pero yo creo que hay mucho riesgo y lo más seguro es que vayas a prisión.
—¿Y es verdad que se puede ganar más dinero así o no?
—Dependiendo de cuáles sean tus objetivos, qué se intente robar. Hay casos en los que ganaron mucho dinero robando, por ejemplo, dinero de los clientes de una compañía. Hay casos, pero también hay casos que terminan en prisión después de eso.
—El riesgo es muy grande.
—Sí.
—Y a su vez se puede ganar mucho dinero siendo un hacker bueno, como es tu caso. Vos contaste que ya hiciste un millón de dólares en tres años. ¿es así?
—Sí, exacto.
—Solo en tres años y trabajando de 6 a 7 horas por día.
—Sí.
—O sea que es lo mismo que trabaja cualquier persona en una oficina, o incluso un poco menos, pero con mayor rédito. ¿Qué le aconsejarías, entonces, a quien se quiera dedicar a esto?, ¿que es una buena idea?
—Sí, yo creo que todas las personas que estén interesadas en el hacking tienen que, después de un largo entrenamiento de técnicas de hacking de páginas web, o de dispositivos, de celulares, abrirse al bug bounty para poder tener la oportunidad de ganar mucho dinero legalmente y, literalmente, de todos lados del planeta.
—Sé que tenés 19 años y empezaste a estudiar a los 16, por tu cuenta, ¿qué tutoriales hiciste?, ¿qué podrías sugerir para alguien que quiera iniciarse en este camino?
—Fue un largo camino, la verdad. Fue todo un año de estudio a full en lo que es el hacking. Empecé viendo tutoriales de YouTube sobre cómo vulnerar computadoras, teléfonos, pero no enfocándome en páginas web, que es en lo que ahora estoy enfocado. Después de estudiar conocí el bug bounty, que es un método para reportar vulnerabilidades de seguridad a diferentes compañías, legalmente. Lo descubrí gracias a Google. Lo busqué y llegué a una empresa llamada HackerOne, que es muy buena.
—¿Hiciste algún curso de capacitación más formal, además de los tutoriales?
—Hice un curso completo de Offensive Security, así se llama la compañía, que lo que hace es darte tutoriales sobre seguridad, hackeo de computadoras, paginas web, todo lo que tiene que ver con informática.
—¿Cuánto tiempo le dedicabas a estudiar?
—Literalmente pasaba muchísimas horas: estaba unas 10,12 horas con la computadora, todos los días. Tardé bastante pero valió la pena. Quizás hay gente que se desmotiva en el proceso, pero yo siempre seguí enfocado en mi objetivo.
—¿Y siempre fuiste tan aplicado en el estudio o solo en esto que te interesa tanto?
—En realidad, a mí no me gusta mucho estudiar, pero si es algo que me interesa, como el hacking, sí, le dedico tiempo, porque me gusta mucho.
—¿Pensás hacer una carrera universitaria vinculada con esta temática?
—Podría ser, todavía no lo tengo pensado, pero creo que lo mejor sería hacerlo.
—¿Cómo es tu jornada laboral?
—Ahora que estoy más experimentado en el tema me hice mi propio horario y trabajo entre 6 y 7 horas. Me gusta más trabajar a la noche.
—¿Te pagan por cada falla que encontrás?
—Sí.
—¿Y cuánto se puede llegar a pagar por eso?
—Depende. Con las vulnerabilidades más sensibles te pagan 15 mil dólares, pero también hay menos críticas, por las que te pueden pagar 500 o 1.000 dólares.
—¿Cuánto es lo máximo que te han pagado por un error reportado?
—Me han pagado 10.000 dólares por un Server Side Request Forgery, que es un ataque para poder acceder a los datos internos de la compañía, como puertos, IPS, etc.
—Y cuando encontraste ese error, ¿qué hiciste? ¿Lo reportaste a la compañía de ciberseguridad para la que estás trabajando?
—Sí. Cuando encontrás una vulnerabilidad la reportás automáticamente y le llega al equipo.
—Y ellos lo que hacen es advertirle a la compañía y luego se genera una solución para ese problema, ¿no?
—Sí, ellos primero lo aceptan, ven que es un bug válido, lo mandan a arreglar y después de un tiempo, unas dos semanas, te lo pagan.
—Leí que se puede llegar a obtener hasta 250.000 dólares por algunas vulnerabilidades, ¿puede ser?
—Sí, esas vulnerabilidades existen y son más que nada para el hardware. Por ejemplo las computadoras Mac, los iPhone. Apple tiene un gran programa bug bounty que es muy difícil, pero te pueden llegar a pagar mucho dinero.
—¿Y cuáles serían? ¿Qué tipo de fallas hay a nivel del hardware?
—Por ejemplo, que puedas acceder a una computadora Mac automáticamente, mientras está en tu wifi pero sin interacción del usuario, eso sería un error muy crítico.
—¿Cuáles son las fallas que vos encontrás más habitualmente?
—Yo me enfoco más en lo que son las páginas web y, obviamente, pagan bien, pero no esa cantidad, porque son vulnerabilidades más fáciles de encontrar.
—¿Y cuáles son los errores más frecuentes que hay en páginas web?
—Los más críticos son los Remote Code Execution, que es una forma de acceder a todo el servidor, todos los datos del servidor por medio de la terminal. Es bastante crítica. Otra es SQL Injection, que es para acceder a la base de datos de la compañía. Esa se paga muy bien. En el caso de Remote Code Execution pueden pagar 15 mil dólares y para SQL Injection, 10 mil dólares.
—¿Cuándo encontraste la primera vulnerabilidad y qué edad tenías?
—Tenía 16, casi para 17, pero fue un gran momento, porque fue mi primera vulnerabilidad. Me pagaron solo 50 dólares. Fue un Cross Site Request Forgery, que es para hacer acciones en otras cuentas por medio de una petición, automáticamente, y, obviamente, necesitas interacción de usuario.
—¿Qué tendrían que hacer las empresas para que sus dispositivos y sistemas operativos sean más seguros?
—reo que todas las compañías deberían abrirse un programa de bug bounty, si no lo tienen, porque es una forma muy exitosa para proteger a tu compañía y clientes, porque podés tener a todos los hackers del mundo hackeando tu compañía legalmente y reportándote todo sin afectar a ningún usuario.
MÁS SOBRE ESTE TEMA: