España, campeona mundial de hackers éticos tras vencer a Israel en la final>

Este campeonato del mundo, conocido oficialmente como Ambassadors World Cup, lo ha organizado la empresa Hackerone, la mayor plataforma a nivel global de las que se encargan de mediar entre las grandes multinacionales de todo tipo (Google, Apple, Facebook, Microsoft, Iditex, Tesla, etc.) y los hackers que trabajan para detectar las grietas de sus sistemas de seguridad. Es una modalidad que en el sector se conoce como ‘Bug Bounty’. En síntesis, las grandes compañías ponen a disposición de Hackerone sus sistemas y aplicaciones para que los hackers éticos o cazarrecompensas busquen sus vulnerabilidades. Y luego, la plataforma, como mediadora, se encarga de verificar esos reportes y que las recompensas que se les paga a quienes las encuentran sean justas.

En eso consistió, básicamente, la Ambassadors World Cup. Arrancó en marzo con un total de 29 equipos, que entre todos sumaban 677 hackers. Representaban a 22 países porque alguno, como Estados Unidos o la India, contaba con más de un conjunto. Diego Jurado y Carlos Rivero fueron los seleccionadores encargados de confeccionar el equipo español con un total de 26 hackers –ellos dos incluidos–. «A la mayoría, los seleccionamos en base a la reputación que sabíamos que tenían en la plataforma –Hackerone–, aunque también llamamos a otros que no estaban en ella pero creíamos que podrían hacer un buen papel», explica Jurado en una conversación con ABC. Todos son jóvenes de 20 a 36 años, más o menos. Y todos, hombres. El de la ciberseguridad es un sector en el que todavía «no hay demasiadas mujeres», lamenta este seleccionador español.

El camino hacia la final

La mecánica competitiva fue la habitual de los torneos deportivos. Como en cualquier Mundial de Fútbol, primero hubo una fase de grupos, en la que España se enfrentó a Bangalore (India), a uno de los equipos de Estados Unidos y también a Israel. La selección nacional quedó primera de su grupo y luego derrotó, sucesivamente, a Rumanía (octavos de final), Egipto (cuartos) y Nepal (semifinal), para encontrarse de nuevo, pero esta vez en la final, con Israel. El combinado israelí había quedado segundo de su grupo en la primera fase del torneo, por detrás de España. Cada eliminatoria se jugaba durante un par de semanas.

Hasta la final, todo el torneo se disputó de forma virtual. «Cada uno, desde nuestras casas, íbamos reportando los fallos de seguridad de los sistemas de clientes que nos facilitaba Hackerone», explica Jurado a este diario. Trabajaron analizando las vulnerabilidades de los sistemas de varias multinacionales. «A veces estás días y días hackeando y no encuentras nada, y de repente un día tienes la suerte de dar con la tecla y ganas una recompensa enorme», explica Icko Viqueira, uno de los hackers éticos que formaron parte del equipo español. En la penúltima ronda de la competición, por ejemplo, Viqueira, en colaboración con otros compañeros, consiguió detectar una grieta de seguridad crítica por la que fueron recompensados con 65.000 dólares.

Tras vencer a Nepal, una de las eliminatorias más complicadas, a la selección le esperaba en la final Israel, que, a su vez, había derrotado a Francia en la otra eliminatoria de la Final Four. En esa última ronda, España e Israel tuvieron que emplearse a fondo para detectar las vulnerabilidades de las aplicaciones y software de cuatro multinacionales: TitTok, Adobe, AS Watson y Mercado Libre, una plataforma de ventas similar a Amazon, de gran éxito en Latinoamérica. En rondas anteriores habían trabajado, por ejemplo, con Tinder, la aplicación de citas más popular del mundo: «Fue simpático porque tuvimos que hackearla, y algunos que llevamos años en pareja nunca la habíamos usado», explica este hacker gallego de 36 años, que desde los 21 se dedica profesionalmente a la ciberseguridad.

La final se disputó durante un par de semanas de forma remota, como las eliminatorias anteriores, pero las tres últimas jornadas de la Ambassadors World Cup se jugaron presencialmente en Buenos Aires (Argentina). En la capital porteña se vieron las caras, por primera vez, los hackers españoles e israelíes. Allí se encontraron los dos equipos que disputaron la final, pero también Francia, para jugarse el tercer y cuarto puesto con Nepal, aunque este último equipo no pudo viajar a Argentinas por problemas con los visados.

Para entonces, explica Jurado a ABC, «el pescado ya estaba vendido». «Lo que no hubiéramos encontrado en las dos semanas anteriores no lo íbamos a encontrar en dos días en Buenos Aires», añade el seleccionador a este diario. No obstante, matiza que a última hora «siempre salen cosas», en buena medida porque trabajar en equipo de forma presencial suele dar buenos frutos. 

Cuando aterrizó en Buenos Aires, el primer fin de semana de noviembre, el equipo español sabía que iba por delante de Israel en número de vulnerabilidad detectadas, pero desconocía la categoría de estas. Hay estipulados cuatro niveles de criticidad, baja, media, alta y crítica, y cada una con diferente valoración, desde los dos puntos de la baja hasta los doce de la crítica. «Pero, al final, ganamos más sobrados de lo que pensábamos», reconoce Jurado. Y la copa del mundo voló hacia España.