Para los profesionales de TI interesados en temas de ciberseguridad, existe un área de oportunidad que ofrece desarrollo y cuantiosas ganancias, pero se debe conocer cómo insertarse en él para saberlo vender, se trata del mercado de vulnerabilidades.
Al respecto, habló Joji Montelibano, gerente técnico del equipo de Análisis de Vulnerabilidades de uno de los programas del CERT del Instituto de Ingeniería de Software (SEI), en una conferencia, durante el Congreso de Seguridad de la Universidad Nacional Autónoma de México (UNAM).
Montelibano explicó que el “mercado de vulnerabilidades”, se trata de hallar fallos en el software que desarrollan las empresas, buscar una solución y presentarla de manera discreta a la compañía a cambio de una remuneración.
Detalló que existen algunas empresas como Google o Facebook, las cuales recompensan a los desarrolladores que son capaces de comprobar una falla y ofrecer su solución.
Aunque reconoció que no todas las compañías ven con buenos ojos a los profesionales que descubren sus vulnerabilidades, ofreció algunos consejos para quienes deseen ingresar en esta área:
- Sector privado. Es mejor trabajar con las empresas, ya que con el gobierno se podrían tener algunos problemas, pues podría ser confundido con un ataque directo al país.
- No publicar las vulnerabilidades. Las empresas son sensibles en el tema de su imagen pública, por lo que dar a conocer esta información es un equivalente a humillarlas.
- Exclusividad. Si la vulnerabilidad es vendida a diversos compradores, pierde su valor, debido a que las empresas pueden comerciar u ofrecerla ellas mismas.
Montelibano reafirmó que este mercado está en crecimiento, ya que apenas se vislumbran maneras claras de monetizarlas por una vía legal, pues anteriormente las vulnerabilidades se vendían en el mercado negro, donde era difícil llevar un control y podían ser empleadas para obtener otros fines.