Por: MSRC.
Con solo 13 años, Dylan se convirtió en el investigador de seguridad más joven en colaborar con el Centro de respuesta de seguridad de Microsoft (MSRC, por sus siglas en inglés). Su recorrido hacia la ciberseguridad es inspirador, arraigado en la curiosidad, la resiliencia y un profundo deseo de marcar una diferencia.
Inicios: De cero a la seguridad
La fascinación de Dylan por la tecnología comenzó temprano. Como muchos niños, comenzó con Scratch, un lenguaje de programación visual para hacer juegos y animaciones simples. Pero para Dylan, Scratch era más que un juguete; fue el comienzo de un camino mucho más grande. Muy rápido pasó a HTML y otros lenguajes, y en 5º grado, ya analizaba el código fuente detrás de las plataformas educativas. Un experimento, desbloquear juegos antes de completar las lecciones, lo metió en problemas, pero también despertó un creciente interés en cómo funcionan los sistemas.
Esa curiosidad solo se profundizó durante la pandemia de COVID-19. Cuando su escuela deshabilitó el acceso de los estudiantes para crear reuniones de Teams, Dylan encontró una solución alternativa con Outlook. No se trataba de eludir las reglas, se trataba de ayudar a los compañeros de clase a mantenerse conectados en un momento de aislamiento. Era un vistazo inicial al solucionador de problemas en el que comenzaba a convertirse.
La primera vulnerabilidad de Dylan
Cuando su escuela deshabilitó más tarde los chats de Teams creados por los estudiantes, Dylan no se rindió, se volvió creativo. Lo que comenzó como una búsqueda para restaurar las opciones de comunicación se convirtió en su introducción a la investigación de seguridad. Después de 9 meses de autoaprendizaje, exploración y prueba y error, descubrió una vulnerabilidad que le permitió hacerse cargo de cualquier grupo de Teams. Ese avance marcó su entrada en el mundo de la divulgación responsable e inició su relación con MSRC.
Poco después, Dylan presentó su primer informe oficial de vulnerabilidad a Microsoft. En respuesta, el equipo de Bug Bounty actualizó los términos de su programa para permitir la participación de investigadores de hasta 13 años. Desde entonces, Dylan ha trabajado en estrecha colaboración con MSRC, para demostrar conocimientos técnicos y profesionalismo mucho más allá de su edad.
Colaborar con MSRC
Las habilidades de comunicación de Dylan son tan impresionantes como las técnicas. Es conocido por rechazar de manera respetuosa cuando no está de acuerdo con las evaluaciones iniciales de MSRC, siempre con el objetivo de comprender su perspectiva y articular la suya con claridad. Este enfoque reflexivo le ha ganado respeto y le ha ayudado a obtener resultados significativos.
Un ejemplo notable: Dylan envió una vulnerabilidad en el servicio Authenticator Broker que en un inicio se consideró fuera del alcance. A través de un diálogo claro y constructivo, ayudó a MSRC a comprender sus implicaciones más amplias. ¿El resultado? No solo se reconoció el problema, sino que el programa de recompensas también amplió su alcance para incluirlo en futuras presentaciones, un testimonio del impacto de Dylan.
Desafíos y triunfos
A pesar de sus logros, el camino de Dylan no ha sido fácil. Se ha enfrentado a informes incomprendidos y contratiempos, pero le da crédito a su familia, en especial a su madre, padre, padrastros y abuelos, por ayudarlo a mantenerse con los pies en la tierra, paciente y profesional.
Su recorrido no solo ha sido técnico. Durante la pandemia, Dylan también perdió la voz debido a un problema de salud y se sometió a dos cirugías para recuperarla. La experiencia solo fortaleció su determinación y resistencia.
¿Qué sigue para Dylan?
Ahora en el tercer año de la escuela secundaria, Dylan equilibra el trabajo escolar con actividades extracurriculares como la Olimpiada de Ciencias, las competencias de matemáticas, la natación, el ciclismo y el violonchelo. Presentó 20 informes de vulnerabilidad tan solo el verano pasado, frente a solo seis en total antes.
Ha sido incluido en la lista de investigadores más valiosos de MSRC tanto para 2022 como para 2024. En abril de 2025, Dylan compitió en el Zero Day Quest de Microsoft, un evento de piratería in situ de primer nivel en Redmond, Washington, y se llevó a casa el 3er lugar, un logro increíble que lo colocó entre los mejores investigadores a nivel mundial.
A pesar de una apretada agenda académica, Dylan aun ve la investigación de seguridad como un pasatiempo gratificante. Le apasiona aprender, explorar nuevas vulnerabilidades y retribuir a la comunidad. A largo plazo, está abierto a una variedad de posibilidades, incluido el trabajo continuo en ciberseguridad, ciencia o educación cívica.
Dylan también sueña con asistir a conferencias de seguridad tan pronto como tenga la edad suficiente, ansioso por conocer a otros investigadores y aprender de los mejores. Para otros jóvenes investigadores, su historia es una prueba de que la edad no es una barrera: lo que más importa es la creatividad, la persistencia y la voluntad de aprender.