España acaba de volver a coronarse campeona del mundo en la Ambassadors World Cup 2024, una competición internacional de hackers organizada por la compañía de ciberseguridad HackerOne. De las tres ediciones que se han celebrado, nuestro país la ha ganado en dos ocasiones.

En concreto, el equipo español de este año estuvo formado por 20 hackers, que fueron elegidos por dos capitanes. En total, en la competición participaron 42 países, que compitieron entre sí en tres rondas. Una primera en la que se enfrentaron todos contra todos -y se eliminaban los diez últimos- una segunda que consistía en una fase de grupos y una tercera fase eliminatoria. En el camino hacia el campeonato, España eliminó a Francia, Vietnam y Países Bajos. Y en la final, que se disputó en Dubái, tumbaron a Egipto.

La competición está basada en el bug bounty, un programa por el cual las compañías recompensan a los hackers por encontrar fallos de seguridad en sus sistemas. "Todas las rondas tienen un formato muy similar. Se presentan una serie de empresas, normalmente entre dos y cuatro, y nos explican qué servidores, aplicaciones o sistemas de esas compañías tenemos que analizar. Y normalmente nos dan un plazo de dos semanas para que busquemos", relata Diego Jurado, uno de los capitanes del equipo español.

En la edición de este año los hackers tuvieron que trabajar con clientes reales como Amazon Web Services (AWS), Adobe u OKX. Por cada fallo de ciberseguridad que encontraran les otorgaban una serie de puntos, en función de si se consideraban más o menos críticos. En la final, España se impuso a Egipto por 508 puntos frente a 244.

Pero, más allá de ese sistema, que sirvió para coronar al ganador, la compañías otorgan premios económicos de hasta 100.000 euros a aquellos hackers que detecten las brechas. En total, en toda la competición se encontraron 5.539 vulnerabilidades, de las cuales 349 fueron de riesgo alto o crítico, y se repartieron 2,3 millones de dólares en premios. "Nosotros lo hemos visto como un trabajo colaborativo, y esa ha sido la base de nuestro éxito, porque no estábamos obcecados con el dinero", desliza Jurado.

El músculo de los hackers españoles

La primera edición de la Ambassadors World Cup la ganó Francia, pero por entonces aún no estaba tan profesionalizada, y tan solo competían una decena de países. Con los años, la competición ha ido creciendo. Y el bicampeonato de España muestra que nuestro país se está convirtiendo en una potencia en este ámbito.

"Este último mundial empezó en mayo de 2024, y ha durado un año, porque las rondas se espaciaban mucho", detalla Jurado. "La mayoría de los hackers de nuestro equipo nos dedicábamos a esto en nuestro tiempo libre, cuando podíamos. Es cierto que en este campo no somos muchos, pero en España hay mucho nivel", añade.

Dentro del equipo español, muchos hackers trabajan para empresas extranjeras. "Al final, suelen pagar más", asegura Jurado. La mayoría compaginan el bug bounty con otros trabajos, aunque algunos pocos se dedican exclusivamente a ello. "Si encuentras un fallo crítico en una empresa, en algunas ocasiones te pagan más dinero del que ganarías en todo un año trabajando en una compañía española, así que también puede ser una forma de vida", añade el capitán español, que se muestra convencido de que "esta modalidad de competición es la más realista, y tiene una complejidad enorme. Hay mucha gente buscando cualquier tipo de fallos, y siempre tienes que encontrar algo más que los demás".

Para configurar el equipo, los capitanes españoles se basaron en varios criterios. Por un lado, escogieron a aquellos hackers con mejor ranking en la plataforma HackerOne. Y por otro, tiraron de contactos para captar a gente con "talento" en el mundo de la ciberseguridad, pero sin tanta experiencia en este tipo de competiciones de bug bounty. Con todo, Jurado admite cuál es el gran debe: "Es verdad que no teníamos a ninguna mujer en el equipo, pero es que en España no conocemos a ninguna que esté activa en este campo. Y en general, a nivel mundial su presencia es muy baja", zanja.