Los freelancers de la seguridad digital a nivel mundial también se reúnen en plataformas. Compañías como Bugcrowd o HackerOne conectan personas que buscan fallas con compañías dispuestas a pagar por cada falla encontrada.
Este tipo de trabajo se ha expandido a cientos de miles de hackers, muchos de los cuales ya cuentan con experiencia en seguridad IT. Algunos tienen un trabajo fijo y buscan fallas en su tiempo libre, y otros se mantienen de este trabajo. Juegan un papel esencial para hacer el código más seguro en una época en la que los ataques incrementan rápidamente y el costo de mantener un equipo de seguridad interno dedicado aumenta a la misma velocidad.
Los mejores freelances pueden hacer grandes sumas. HackerOne, con más de 20.000 usuarios registrados, indica que 12% de las personas usando este servicio amasan US$20.000 o más al año, y alrededor del 3% gana más de US$100.000. Los hackers que utilizan estas plataformas suelen estar en Estados Unidos y Europa, pero también hay de otros países, en los cuales las sumas que pagan las compañía llevan a muchos a trabajar tiempo completo detectando fallas.
Cada vez más compañías grandes como GM, Microsoft y Starbucks están llevando a cabo campañas de caza de fallas, programas que ofrecen premios en metálico a aquellos que descubran y reporten fallas en el software. Plataformas como Bugcrowd avisan del inicio de los programas, priorizando las fallas descubiertas, y manejando los pagos.
El oficial de seguridad e la información de Motorola, Richard Rushing, indica que realmente le gusta esta forma de buscar fallas, porque significa que muchos ojos están revisando el código, y los buscadores freelance reportan fallas rápidamente en orden de embolsarse la recompensa antes de que los rivales lo hagan.
Actualmente, los expertos predicen que habrá 3.5 millones de trabajos de ciberseguridad vacantes en el 2021 porque no hay suficientes trabajadores especializados, y los freelancers pueden suavizar un poco el impacto que esto tiene sobre equipos internos.
Sin embargo, estas plataformas se enfrentan a un par de retos importantes: el primero, seguir expandiendo su pool de talento; el segundo, establecer un marco legal claro que establezca qué herramientas y técnicas pueden usar los hackers éticos de forma segura. Las tácticas populares como insertar código que podría cambiar la forma en la que un programa se ejecuta en aplicaciones de software podría llevar a juicio y encarcelamiento de acuerdo con la CFAA en Estados Unidos. Ya ha habido casos en los que los investigadores de seguridad y hackers que reportan fallas han enfrentado posibles acciones legales por desenterrar y reportar vulnerabilidades en el código de compañías. Para alejar a los hackers de sombrero blanco bastarían un par de demandas de alto nivel, con efectos devastadores para la industria.
Para enfrentar el programa del talento, las plataformas están publicando mucho contenido que ayude a los hackers a mejorar sus habilidades y atraiga a más personas a este tipo de trabajo. Bugcrowd acaba de presentar Bugcrowd University, que ofrece webinars gratuitos y guías escritas para distintas disciplinas y herramientas. La plataforma también trabaja con hackers éticos experimentados para descubrir y entrenar talentos freelance. Los mejores reclutas son curiosos, tenaces y están dispuestos a adaptarse rápidamente.
HackerOne también publica más material de entrenamiento y mentorea buscadores de fallas independientes en habilidades como la comunicación efectiva con los departamentos corporativos de IT.
En el frente legal, las plataformas están presionando por más “zonas seguras” específicas en los contratos de búsqueda de fallas. Adam Bacchus, de HackerOne, explica que el objetivo es dejar en claro que si un hacker sigue las reglas del acuerdo dentro de límites razonables, no terminaran en la corte. Por otro lado, Bugcrowd lanzó una iniciativa llamada disclose.io para crear un marco de trabajo estandarizado a la hora de encontrar y reportar fallas. Esto puede proveer de autorización implícita para utilizar técnicas para detectar fallas que normalmente serían claras violaciones de los estatutos anti-hacking y complementa a grupos (como la Electronic Frontier Foundation) que luchan para que las leyes como la CFF en Estados Unidos no sea utilizada para silenciar investigadores que encuentren fallas graves y las revelen de manera responsable.
El fundador de Bugcrowd, indica que otros países como Reino Unido y Alemania también tienen leyes anti-hacker estrictas que pueden ser usadas para bloquear el hackeo ético. Estas leyes son necesarias para evitar que los hackers causen desastres, y el reto está en encontrar un equilibrio entre proteger a los hackers de sombrero blanco y proteger a las compañías de aquellos que causan daños. La solución son será fácil, pero en vista de la ausencia actual de talentos en el mundo de la ciberseguridad, es un asunto que debe resolverse urgentemente.