El primer bug (“insecto”o, en informática, “virus”) fue encontrado en 1947, cuando una polilla quedó atrapada en un componente de la computadora electromecánica, Harvard Mark II.

En los 67 años desde que aquel insecto muerto fue hallado, las computadoras han cambiado mucho, pero los bugs continúan enredándose en ellas.

La mala noticia es que, en estos días de delincuencia cibernética desenfrenada, los virus pueden ofrecer a los atacantes acceso fácil a una máquina. La buena noticia es que encontrar virus puede resultar un lucrativo negocio para los chicos buenos.

Los grandes virus se encuentran generalmente cuando los programas están a punto de ser lanzados. Sin embargo, el número de expertos al que los fabricantes de software que pueden acudir para verificar qué tipo de virus goza de la preferencia de los ciberladrones es limitado, incluso para las empresas más grandes.

No es de extrañar entonces que cada vez más fabricantes de software estén ofreciendo recompensas a personas, sobre todo investigadores de seguridad independientes, para detectar los virus y otras vulnerabilidades.

La recompensa puede ir desde una camiseta o un software gratis hasta, a veces, una computadora portátil. Pero cada vez más -dice Casey Ellis, fundador de la web Bug Crowed- la recompensa es dinero contante y sonante.

“Tan pronto como se presenta ese tipo de incentivo, llama la atención de más personas y la investigación es también mejor”, dijo. “Todo el mundo debería tener un programa de recompensas de virus de algún tipo”.

Bug Crowed cuenta con 6.000 miembros y actúa como centro para los buscadores de virus y para las empresas que necesitan los sevicios de estas personas. Ofrece una lista de los programas de recompensas y beneficios y ayuda a normalizar las formas en la que los virus son denunciados.

Mirada lógica

¿Quiénes son los buscadores de virus?

“Hay dos grupos distintos”, dijo Ellis. “Los que se centran en la búsqueda de problemas con un enfoque muy técnico, y luego están los que tratan de pensar como los malos”.

James Forshaw de la firma de seguridad Context, se encuentra en el primer grupo.

“Me he especializado en la búsqueda de errores lógicos”, dijo. “No se trata de la explotación de una pieza de código, sino toda una cadena de operaciones lógicas para obtener un resultado inesperado”.

Forshaw recibió de Microsoft una recompensa de US$ 100.000 por encontrar
un virus en Windows 8.1.

Esto puede implicar un trabajo minucioso para rastrear la forma en la que los procesos y funciones interactúan en software. Puede ser especialmente duro con los productos Microsoft porque relativamente poco de su código fuente se encuentra disponible. En lugar de ello, los ingenieros de seguridad, como Forshaw, utilizan herramientas que funcionan en una versión abstracta de ese código de software.

A veces, el resultado final de todo el cuidadoso análisis es nada.

“El día que (hallé un virus en Windows 8.1) fue un día bastante bueno” – James Forshaw, Context

En octubre del año pasado, Forshaw recibió de Microsoft una recompensa de US$100.000 por encontrar un virus en Windows 8.1 que, de ser explotado, habría permitido a los atacantes saltarse los sistemas de protección.

“El día que lo hallé fue un día bastante bueno”, dijo.

Sin embargo, reconoció que su enfoque se basó en su amplia experiencia acumulada desde que consiguió su primera computadora a la edad de seis años, después de lo cual se convirtió en un adicto de los códigos.

Muchos otros buscadores de virus han utilizado su habilidad para sacar partido de la oportunidad. Esto se debe a que las empresas de software no son las únicas que pagan para enterarse de virus. Los ciberladrones también ofrecen dinero por conocer vulnerabilidades que pueden explotar con virus y otros programas maliciosos.

Pero los mayores compradores de informes de virus son los gobiernos, y las recompensas potenciales son enormes. Documentos filtrados por Edward Snowden sugieren que la Agencia Nacional de Seguridad de EE.UU. gasta US$25.000.000 al año en la compra de virus. Han surgido empresas que actúan como intermediarios entre los investigadores y los compradores y hay informes anecdóticos de gente que se enriquece gracias a estas ofertas.

Inicio rápido

Entonces, ¿hay alguna esperanza para los jóvenes de más de seis años que no tienen un conocimiento técnico profundo de software? ¿Puede hacerlo cualquiera?

Sí, dice Casey Ellis de Bug Crowed, al tiempo que agrega que muchos de sus miembros comenzaron como novatos adolescentes, pero que ahora lo están haciendo bien. Hay otros también.

Encontrar un virus en Facebook toma tiempo y paciencia, pero no necesariamente gran conocimiento de la informática.

“Empecé a los 14 años con la búsqueda de vulnerabilidades en aplicaciones de web sencillas”, dice el adolescente alemán Robert Kugler, quien ahora tiene 17 años. “La seguridad siempre fue un tema fascinante para mí, así que me autoenseñé fundamentos de seguridad de la información y continué estudiando más a fondo”.

Desde entonces, ha logrado encontrar errores para Mozilla, Avast, PayPal, Yahoo, Microsoft, el gobierno holandés y el servicio de inteligencia militar de Bélgica. Ha recibido cerca de US$5.000 por su trabajo.

Sin embargo, admite que no es fácil.

“Es necesario tener una buena capacidad analítica y hay que ser capaz de entender las coherencias”, dijo. “Por último, e igualmente importante, la paciencia y la creatividad son habilidades muy importantes”.

Otro ejemplo cuán sencillo puede ser esto se encuentra en Chris Wysopal, un exmiembro del famoso grupo de pirateo informático Lopht hackers. En mayo de 1998, el grupo declaró ante el Congreso de EE.UU. que podía cerrar el internet en 30 minutos.

“Empecé a los 14 años con la búsqueda de vulnerabilidades de aplicaciones web sencillas” – Robert Kugler de 17 años

Wysopal ahora ayuda a dirigir la empresa de seguridad Veracode, que produce herramientas automatizadas que buscan virus y otros fallos de codificación.

“Esas herramientas pueden encontrar un código que es vulnerable a ataques conocidos o señalar sitios donde las funciones de seguridad, tales como la criptografía, son débiles. Ir más allá requiere personas que puedan tener una visión de un nivel superior de cómo encajan los códigos entre si”, dice Wysopal.

Con todo, agrega que esas personas no necesariamente tienen la habilidad técnica.

La Hija de Wysopal, Renee, recibió una recompensa de US$2.500 dólares de Facebook por descubrir que su módulo de privacidad falló varias veces a la hora de bloquear la visita de sus páginas por otras personas.

A pesar de ser una graduada de artes, Renee encontró el error después de obtener la orientación de su padre acerca de cómo ver el código fuente de una página web y el uso de un proxy para cambiar los datos que se le pasan.

Es poco probable que su experiencia sea única, dijo Wysopal.

“No creo que sea tan difícil encontrar fallos en muchos productos”, dijo. “Sólo hay que buscar”.

(BBC)