Publicado en MSRC blog.

En Microsoft Security Response Center (MSRC), celebramos los diversos caminos que atraen a los investigadores a nuestra comunidad. La historia de Brad Schlintz es una de curiosidad, resiliencia y un impulso incansable por aprender, que abarca comienzos rurales, giros profesionales y una vida marcada tanto por la tecnología como por los viajes. En esta entrada del blog, compartimos los recorridos de Brad, para destacar las experiencias y conocimientos que le han convertido en un contribuyente principal al programa de recompensas por errores de Microsoft (clasificado como el #5 MVR de Microsoft en 2025), clasificado tanto para Zero Day Quest 2025 como para Zero Day Quest 2026, y un miembro respetado de la comunidad de investigación en seguridad.

Curiosidad temprana: Experimentar y romper las reglas

La fascinación de Brad por la tecnología comenzó en un pequeño pueblo del Medio Oeste rodeado de vacas lecheras y campos de maíz interminables. De niño siempre sentía curiosidad, desmontaba aparatos electrónicos para ver cómo funcionaban y construía ordenadores con piezas de repuesto. Su primer verdadero contacto con la informática llegó en séptimo de primaria, cuando descubrió RuneScape. Más tarde convenció a sus padres para que se instalaran una segunda conexión por marcación para poder automatizar su juego las 24 horas. «Tenía cinco o seis bots en funcionamiento todo el día y la noche», recuerda Brad. «Al final me banearon, lo cual era merecido, pero fue muy divertido y consolidó mi interés por los ordenadores.» Esto sentó las bases para un futuro en la tecnología, aunque en ese momento Brad se imaginaba a sí mismo como diseñador de juegos, no como investigador en seguridad.

Cuando llegó el momento de ir a la universidad, Brad eligió una escuela técnica cerca de casa y obtuvo una licenciatura en informática. «Obtuve un título, pero me sorprendió durante mis prácticas con un contratista de defensa», admite Brad. Le entregaron un enorme manual de SharePoint Server 2007 y le dijeron: «Vas a ser desarrollador de SharePoint.» Lo que siguió fue más de una década de trabajar con SharePoint, primero en puestos corporativos, luego en consultoría y, por último, incorporándose a Microsoft como ingeniero de campo. «Fue pura suerte acabar en SharePoint, pero marcó el rumbo para los siguientes 12 años», dice Brad. Durante este periodo, experimentó con Linux y estudió el Manual de Campo del Red Team, pero la ciberseguridad siguió como un interés secundario. Incluso cuando solicitó plaza en MSRC, le rechazaron por no tener formación en seguridad.

Dejar el trabajo de 9 a 5 y descubrir la recompensa por errores

El camino de Brad dio un giro dramático cuando decidió dejar el empleo tradicional y embarcarse en una mini jubilación de un año con su esposa. «Siempre soñé con dejar mi trabajo y viajar», dice. «Hacia el final de ese primer año, supe que no quería volver a un trabajo de 9 a 5.» Fue entonces cuando Brad descubrió los programas de recompensas por errores (bounty for bug), una forma de combinar su amor por la tecnología con la libertad de viajar.

La transición no fue fácil. Brad pasó noches en aprender sobre la recompensa de los insectos, leer artículos de blog, ver vídeos en YouTube y experimentar con nuevas técnicas. Su primer premio por error, un pago de 2.500 dólares de un programa en HackerOne por una vulnerabilidad en su portal de empleados, llegó cerca de un mes después de empezar. El error era sencillo, una simple redirección abierta OAuth, pero fue el primer dinero que ganó con investigación en seguridad y le dio un gran impulso de confianza.

Los meses siguientes fueron un torbellino de experimentación. Brad probó más de 10 programas diferentes en plataformas como HackerOne y Bugcrowd. «No sabía mucho de seguridad», admite. «Tenía la mente de desarrollador y sabía cómo crear software, pero entender el impacto en la seguridad fue una lucha.» En los primeros días, Brad dedicaba el 50% de su tiempo a buscar errores y el otro 50% en aprender nuevas clases de vulnerabilidad y vectores de ataque. Como Brad ya tenía una sólida formación en desarrollo web, tenía más sentido empezar con clases de errores como XSS, CSRF y SSRF. Al igual que en su infancia, empezó a desmontar y hacer ingeniería inversa de aplicaciones web a las que ya estaba acostumbrado. Aprovechar su formación en ingeniería de software le permitió dominar con rapidez los fundamentos y desarrollar exploits novedosos.

Recompensa de errores de Microsoft y profundizaciones importantes

Tras cinco o seis meses, Brad se sintió listo para enfrentarse al programa de recompensas por errores de Microsoft. Al principio, evitaba Microsoft porque le parecía demasiado intimidante. Resultó que Microsoft era una asociación ideal. En dos meses, Brad había denunciado una docena de casos, gracias a que aprovechó su profundo conocimiento de SharePoint, OneDrive y Office. Su experiencia le permitió descubrir vulnerabilidades que otros no notaban y rápido se convirtió en uno de los principales colaboradores del programa. El enfoque de Brad era metódico. Prefería centrarse de manera principal en una zona a la vez, para agotar la superficie de ataque antes de continuar. «No rebotaba mucho de un lado a otro», dice. «Una vez que empecé en Microsoft, me quedé en el ecosistema. Me permitió acumular conocimiento de manera continua y profundizar en la plataforma.» Con el tiempo, Brad amplió su enfoque a PowerApps y Dynamics y trabajó de manera estrecha con ingenieros de MSRC para abordar vulnerabilidades y mejorar el programa.

Entre los logros de los que Brad se enorgullece está un error crítico entre inquilinos en Dynamics, que le valió un CVE. «Era posible obtener un token de acceso para cualquier inquilino tan solo con conocer .el nombre o el ID del inquilino», explica Brad. «Ese token podría usarse para acceso completo de lectura/escritura a cuentas de almacenamiento de Azure. Fue un error muy impactante.» El descubrimiento supuso un punto de inflexión, lo que validó la experiencia de Brad y le ganó reconocimiento dentro de la comunidad de seguridad.

Otros momentos destacados incluyen obtener una insignia negra de DEF CON, participar en el podcast Blue Hat y conectar con investigadores e ingenieros del MSRC en eventos como Zero Day Quest. «Ha sido un año que me ha cambiado la vida y estoy muy agradecido», dice Brad. «Nunca podría haber imaginado que ocurrieran tantas cosas increíbles en tan poco tiempo. ¡Se siente como si estuviera en una nave espacial!»

Para Brad, el aspecto más gratificante de la recompensa por errores es la conexión humana. Una de sus experiencias favoritas fue conocer gente en Zero Day Quest, celebrado en el campus de Microsoft en abril de 2025. Era capaz de poner nombres en rostros, conectar con otros investigadores y hablar sobre errores con ingenieros del MSRC. Brad valora el espíritu colaborativo de la comunidad, al compartir comentarios para mejorar el programa y apoyar a otros en sus proyectos. Discord también ha jugado un papel importante en su camino, permitiéndole charlar con otros investigadores responsables de todo el mundo.

La vida más allá de la recompensa por errores

La vida de Brad es una mezcla de hechicería cibernética y aventura fuera de lo habitual. Él y su esposa alternan entre «viaje rápido» y «viaje lento» para evitar el agotamiento y mantener un ritmo sostenible. «El viaje lento es para trabajo a tiempo parcial y relajación, mientras que el viaje rápido es similar a unas vacaciones tradicionales con días ajetreados llenos de actividades divertidas», explica Brad. «La mayor ventaja de ser un cazarrecompensas independiente es la libertad de elegir cualquier lugar, zona horaria o día para hackear.» Fuera de la caza de errores, a Brad le gusta bucear, hacer senderismo, observar aves y probar nuevas cocinas. A menudo ve charlas en conferencias y escucha podcasts de seguridad para mantenerse al día.

Mientras Brad mira hacia el futuro, espera perfeccionar aún más sus habilidades y explorar más de los programas de recompensa por errores de Microsoft. «No hay un límite máximo para lo que puedes ganar, además es súper desafiante y siempre cambia», dice. «Para donde estamos en la vida, es el lugar perfecto.»

Brad y su esposa planean otro viaje de un año, para continuar su trayectoria en investigación en seguridad y su exploración compartida de nuevos lugares y experiencias. También ha considerado comprar una casa para tener una base adecuada para lanzar viajes de su lista de deseos. Para Brad, diseñar una vida que equilibre propósito, libertad y crecimiento es de lo que se trata. «Pasé mucho tiempo en soñar con cómo quería que fuera mi vida», dice. «Romper con la estabilidad corporativa fue un salto de fe aterrador y no tenía ni idea de cómo se desarrollaría. Cuando miro atrás, fue una de las mejores decisiones que he tomado porque nos dio la oportunidad de crear una vida única.»

La historia de Brad pone de relieve el poder de la curiosidad, la resiliencia y la comunidad. Desde los comienzos rurales hasta el impacto global, ha demostrado que no existe un único camino hacia el éxito en la investigación en seguridad. Al abrazar el aprendizaje, la colaboración y la aventura, Brad inspira a los demás, recordándonos que el viaje importa tanto como el destino.