02 Sep Programas Bug Bounty
Las grandes empresas del mundo de informática ofrecen recompensas (Bug Bounty) a las personas que encuentren vulnerabilidades y fallos dentro de sus programas de software, hardware o en las páginas web, entre otros.
El desarrollador no solo debe encontrar la falla, sino que tiene que demostrarla, qué problemas podría traer, y documentar los pasos que ha dado para hacerlo.
Además, se firma un acuerdo, por el cual la persona que haya encontrado el bug no lo difundirá hasta que se haya solucionado. Si se cumplen los requisitos, se tendrá derecho a la recompensa del programa.
Muchas empresas relevantes del sector IT, como Apple, Microsoft, Facebook, Google, Tesla, Paypal, entre otras, cuentan con programas bug bounty.
Estas ofrecen recompensas monetarias de miles (o incluso millones) de dólares para motivar a los mejores hackers éticos, desarrolladores o cualquier persona con aptitudes a encontrar fallas.
Suelen contar con un reglamento estricto, junto con una serie de condiciones comunes:
- No hacer nada fuera de la ley.
- Tener ordenador y buena conexión a Internet.
- Formación actualizada (existen cursos gratis).
- Ser consciente de sus limitaciones y empezar por los problemas más sencillos.
Las recompensas importantes son las que los problemas que han logrado solucionar también lo eran. De este modo, se entiende que las personas que han logrado hallar la vulnerabilidad están preparadas y tienen conocimientos extensos sobre el tema.
¿Cómo participar en un programa de Bug Bounty?
En Internet existen plataformas dedicadas a ofrecer programas de recompensas. Su modelo de negocio pasa por brindarle a las compañías un sistema que pone a prueba sus programas, y así, encontrar vulnerabilidades que les impiden un correcto funcionamiento.
Después, cuentan con una red de hackers que serán los que hacen el trabajo y demuestran (o no) las vulnerabilidades del sistema. Algunas de las más conocidas son HackerOne, BugCrowd y AntiHACK.me.
Ventajas:
1. Evita los ataques maliciosos
Las grandes compañías se dieron cuenta de que, irremediablemente iban a ser atacadas, por esto descubrieron que podían darles recompensas a los hackers por reportar esos errores de seguridad.
De este modo, resultaría más valioso para ellos comunicarle los fallos a la compañía que filtrar o cometer algún delito con la información.
2. Da oportunidades a los desarrolladores
Esta estrategia de defensa ante los ataques también es una buena oportunidad para ganar dinero y experiencia, gracias al hacking ético.
Los hackers éticos o de sombrero blanco siempre buscan reportar las vulnerabilidades que encuentran. Sin embargo, al hablar de ciberseguridad, no todas las empresas tienen claramente definidas sus políticas y sus canales de comunicación.
Los programas de Bug Bounty también les facilita a los hackers comunicar sus hallazgos a las empresas.
3. Abre canales de comunicación
Según el Hacker Report 2021, realizado por HackerOne, el 50% de los hackers no ha reportado bugs por falta de información sobre cómo y a quién reportar el fallo, sumado a malas experiencias en el pasado.
Teniendo en cuenta que atacar a una empresa sin su autorización va en contra de las leyes, es altamente necesario que cada empresa deje claras sus reglas en este ámbito.
Los programas de bug bounty pueden ser una opción para mantener seguras las aplicaciones de una organización.
Debido a la gran aceptación de esta actividad, existen hackers de seguridad informática que viven de esto, brindándole a los clientes que se preocupan por su seguridad, la confianza de acceder a sus aplicaciones.