Encontró una forma de entrar. Un hueco en la cerca. Una grieta en la armadura. La aguja en el pajar.

Pero, ¿y ahora qué? ¿Hace lo correcto? ¿Le dice al dueño que vulneró su seguridad, le ayuda a arreglarlo y obtiene una amistosa palmada en la espalda?

¿O toma la nueva arma y la vende a los malandros por miles de millones de dólares?

Ojos que no ven, dice la filosofía, corazón que no siente. Si no lo sabe, no le afecta. Eso, claro, a menos de que sea una poderosa compañía de tecnología con potenciales vulnerabilidades a su seguridad que le pueden costar su vida.

Puede ser el pedazo de un código mal escrito, o una consecuencia imprevista del lanzamiento de una nueva aplicación.

Los sistemas de las compañías, pues, son muy vulnerables, y están cada vez más urgidas de saber todos y cada uno de los detalles de los huecos a su seguridad antes de que otros los encuentren.

Y ahora, están dispuestas a pagar mucho dinero a quienes encuentren el bug.

Mentalidad de criminal

Las recompensas están diseñadas para tentar a los hackers que están en un conflicto ético a que se abstengan del mercado negro y se conviertan en una ayuda para los equipos de seguridad de las empresas de tecnología.

El esquema más reciente, creado por Microsoft, no tiene comparación con los que vinieron antes. Si usted puede encontrar un error grave, y una manera de arreglarlo, tendrá alrededor de US$150.000 en su bolsillo.

“En realidad se trata de buscarles a los hackers que quieren hacer las cosas bien, una manera de hacer algo de dinero”, dice Katie Moussouris, estratega de seguridad de Microsoft.

Según ella, el reto es crear “nuevas e interesantes maneras de atraer a estos investigadores antes de que vayan a otros compradores”.

Y para quienes tienen una mentalidad de criminal, en efecto, hay una gran demanda.

“La industria del hackeo, la industria del hackeo criminal, es en realidad la actividad criminal más grande en el mundo”, dice Oliver Crofton, un investigador de seguridad que protege a las personas de negocios importantes de intentos de hackers.

“Genera más dinero para los criminales que cualquier otro tipo de tráfico de drogas o armas (…) Es una industria enorme”.

Las compañías tienen innumerables errores que los hacen vulnerables a los ataques.

Con una simple búsqueda en Google, el experto le muestra a la BBC lo fácil que es encontrar mercados para quienes tienen vulnerabilidades a la venta. Y eso es antes de adentrarnos en la web oscura y los servicios de navegación anónima.

“Al igual que cualquier transacción comercial, es una negociación”, dice Crofton.

“[Miras] qué beneficio trae para un tercero que quería utilizar esa vulnerabilidad para determinar el precio”.

Por estos días, los precios rondan las “decenas de miles de dólares y hacia arriba”, dice.

¿Por la “emoción”?

Uno de los recompensados más famosos de los últimos tiempos por haber encontrado un bug es el británico Jack Whitton, un hacker de “sombrero blanco”, como les dicen a los hackers buenos.

Encontró lo que un experto de seguridad describe como un “agujero abierto” que usaba una falla en el sistema de mensajes de Facebook para exponer los teléfonos de los usuarios.

Le dijo a Facebook, y le pagaron US$20.000.

De este modo, Whitton se unió a un centenar de hackers “buenos” que le han ayudado a Facebook a mantener su sistema seguro. La compañía los tiene en una lista de las personas a las que agradece en el portal.

Para muchos, este reconocimiento es suficiente.

“Hay mucha gente por ahí que están motivados principalmente por la emoción técnica de encontrar algo en el mundo de la seguridad que es desconocido, como descubrir una nueva criatura o una nueva planta para los biólogos”, dice Richard Allan, director de la política para Europa, Oriente Medio y África de Facebook.

¿Por la recompensa?

Ahora bien, la forma como los hackers les informan a las compañías de la vulnerabilidad tiene sus trucos: debe ser inmediata, no durante un rescate.

“Debemos tener muy claro que la divulgación responsable, como opera en Facebook y otras empresas, significa que el individuo debe revelar la vulnerabilidad tan pronto tenga conocimiento de ella, sin tener que preocuparse acerca de la recompensa. Son dos cosas diferentes”.

“La divulgación responsable significa: ‘Yo voy a decirle a la empresa afectada, a fin de que sean capaces de tapar el hueco. Si me dan un premio estoy encantado, pero no es condicional'”.

Pero para Robert Kugler, un adolescente alemán que ha ganado más de US$7.000 en recompensas por errores, la promesa de dinero es un elemento importante si las empresas como Facebook quieren demostrar que toman en serio su seguridad.

“No es sólo 15 minutos de trabajo duro. Usted tiene que invertir muchas horas trabajando en ello para recibir el pago”, le dice a la BBC.

“Si no le pagas a la gente, no van poder gastarse su tiempo buscando bugs para ti”.