Un hacker independiente puede ganar 200 dólares en 5 minutos, pero no te apresures a romperlo todo. Te diremos cómo hacerlo legalmente con el programa Bug Bounty.
El hacking ético es una de las tendencias en ciberseguridad. Hoy explicaremos cómo los hackers de sombrero blanco pueden ganar dinero cazando vulnerabilidades en empresas conocidas de todo el mundo.
Reconocimiento y Recompensa
El Bug Bounty es un programa de recompensas por el que los investigadores (hackers) buscan brechas en la seguridad digital de una empresa. Cuando un cliente decide utilizar los servicios de los hackers, se elabora un documento especial, un programa de recompensas por fallos (bugs). A veces está incrustado en otros documentos de seguridad. Describe las condiciones en las que se puede ir en busca de bugs.
Si el hacker es el primero en encontrar el problema y envía un informe claro y bien documentado, será recompensado. Las recompensas no siempre son dinero, así que lee cuidadosamente las políticas (programas) si piensas ganar dinero de esta manera. Los hackers no sólo acuden a las Bug Bounty para obtener recompensas materiales. Algunos buscan experiencia, ganarse una reputación y resolver problemas interesantes con los servicios y productos que más les interesan.
A veces, las empresas publican en sus programas reconocimientos a investigadores concretos (hackers), lo que también puede ser un formato de recompensa o un buen complemento al dinero. Algunos ejemplos son Discord y Netflix.
A su vez, para las empresas, las Bug Bounty son una oportunidad de evitar costes multimillonarios y daños a la reputación en caso de un hackeo real.
Programas de Recompensas por Errores (Bug Bounty)
Las recompensas pueden ser públicas o privadas. Las primeras están al alcance de todos, aunque a veces se encuentran requisitos de experiencia y rendimiento previo. Para los programas privados, la propia empresa selecciona a los expertos adecuados. Si te invitan a un programa privado, el número de competidores es significativamente menor y, por tanto, las posibilidades de ganar dinero son mayores.
Es habitual que los clientes comiencen con programas privados. Una vez que sean capaces de manejar un gran número de informes, algunos pasarán a un formato público. A su vez, los hackers sin experiencia en Bug Bounty comienzan con programas públicos para construir una cartera y ganar una buena reputación.
Los programas se alojan en los propios sitios web de los clientes y en plataformas especiales (más adelante se habla de ellas). Muchas empresas producen este tipo de software, así que si estás investigando una organización específica, puede valer la pena buscar Bug Bounty en su documentación de seguridad.
Plataformas de Interacción entre Hackers y Empresas
Para facilitar a las empresas la búsqueda de investigadores y a los investigadores la búsqueda de programas de Bug Bounty de interés, existen muchas plataformas especiales. Aquí es donde se comunican los hackers, donde se envían los informes y donde las empresas pagan las recompensas a través de estos sistemas.
1. HackerOne
HackerOne es una startup que fue una de las primeras en promover el tema de la seguridad crowdsourced. Actualmente es una de las plataformas más populares para los programas de Bug Bounty. Para participar en las búsquedas de bug bounty, sólo hay que registrarse. Hay formación gratuita para los novatos (Hacker101).
Para que te inviten a programas privados atractivos, necesitas una buena puntuación. En HackerOne, esta métrica es la reputación, que se otorga en un formato de puntos dependiendo del tamaño de la recompensa y la criticidad de la vulnerabilidad. Al mismo tiempo, la reputación puede reducirse si se envían malos informes o spam.
En “Hacktivity” puedes explorar las últimas vulnerabilidades encontradas. Los perfiles de las empresas también tienen una sección de “Thanks”, una especie de tablón de honor.
Puedes encontrar más información sobre todos los matices de su funcionamiento en la documentación. La propia plataforma HackerOne también puede comprobarse en busca de vulnerabilidades: tiene un perfil en el sitio web.
2. Bugcrowd
Bugcrowd es una plataforma bastante popular utilizada por varias empresas conocidas. Tienen una taxonomía de gravedad de las vulnerabilidades (Vulnerability Rating Taxonomy – VRT) por la que se evalúa y recompensa a los hackers. Las empresas no necesitan especificar en sus políticas qué vulnerabilidades corresponden a cada nivel de gravedad.
Los programas educativos aquí (Bugcrowd University) son más bien para aquellos que ya tienen una formación en ciberseguridad. Introducen a los hackers en las particularidades del trabajo con Bug Bounty. Las lecciones consisten en videos, presentaciones y laboratorios.
https://github.com/bugcrowd/bugcrowd_university
Las organizaciones tienen una sección de “anuncios” en sus perfiles donde se publican actualizaciones sobre diversos temas. Los hackers que han enviado al menos un informe relevante en este programa se publican en la sección “Hall of fame” (Salón de la fama).
Se obtienen puntos por los buenos informes. También hay insignias para los logros, al igual que en el juego.
Puedes encontrar información detallada sobre el uso de la plataforma Bugcrowd aquí.
3. Synack
Synack es una plataforma que automatiza la búsqueda de vulnerabilidades explotables para ser investigadas por hackers independientes. A diferencia de las plataformas anteriores, aquí los hackers son examinados cuidadosamente. Sólo el 10% de los candidatos acaban en el equipo rojo. También tienen una bonita guía para los allegados de los hackers éticos.
4. Intigriti
Intigriti es una plataforma europea. Antes de registrar una cuenta, es mejor leer atentamente sus condiciones. En cuanto a la formación, los creadores de la plataforma ofrecen un curso de vídeos animados sobre diversas vulnerabilidades, así como una guía sobre cómo redactar informes y una selección de herramientas de hacking. Los investigadores con los mejores resultados se publican en una “leaderboard” (tabla de clasificación).
Las plataformas adecuadas con diferentes condiciones son numerosas. No es difícil encontrar otras opciones en la comunidad de Reddit y en GitHub, pero las empresas más conocidas publican sus programas en HackerOne y Bugcrowd.
https://github.com/djadmin/awesome-bug-bounty
Cuáles son las Condiciones
En sus programas de Bug Bounty, la mayoría de las empresas especifican
- donde se pueden buscar las vulnerabilidades: aplicación web, aplicación móvil, dominios específicos, etc;
- el importe y las condiciones de la remuneración;
- requisitos para el experto;
- problemas de divulgación de vulnerabilidades al público;
- sólo las cuentas que le pertenecen pueden ser atacadas;
- en su informe, los analistas de seguridad de una empresa concreta deberían ser capaces de reproducir las vulnerabilidades encontradas;
- errores conocidos para minimizar la replicación;
- sección safe harbor (refugio legal) – condiciones de protección contra la responsabilidad por incumplimiento de la ley;
- las empresas se preocupan principalmente por la seguridad de los datos de sus usuarios. Por encontrar vulnerabilidades por las que se puede acceder a datos personales: la mayor recompensa;
- la ingeniería social está prohibida.
Ejemplos de condiciones de Bug Bounty de empresas conocidas:
Apple
El problema debe haberse detectado en las versiones más recientes del software. Si Apple no ha tenido conocimiento del problema descubierto, se puede obtener un 50% adicional de la recompensa especificada. Se definen las categorías en las que se pueden buscar las vulnerabilidades, pero se señala que si el fallo se encuentra en otro lugar y supone una amenaza significativa para los usuarios, el hacker también será pagado. Remuneración: entre 5.000 y 1 millón de dólares.
Telegram
Telegram solía organizar concursos de hacking, pero el servicio también tiene un programa de Bug Bounty. Si encuentras una vulnerabilidad en una aplicación o protocolo que implique cambios en el código, el servicio pagará entre 500 y 100.000 dólares o más.
Tinder
Tienen un programa privado, pero pueden investigar y enviar informes que aprobarán o no. Está prohibido utilizar herramientas de escaneo automatizadas y probar ataques DoS.
Airbnb
Indica las particularidades de las pruebas de los diferentes productos. Paga hasta 15.000 dólares. No se pueden enviar preguntas sobre las vulnerabilidades encontradas al servicio de asistencia. Esto interrumpe el trabajo.
ClickUp
Solo interesados en encontrar vulnerabilidades para app.clickup.com. Los datos del usuario están ahí. Se enumeran las vulnerabilidades relevantes e irrelevantes. Sólo puedes obtener una recompensa si no eres de un país sancionado por Estados Unidos. La recompensa es de 25 a 250 dólares a través de PayPal.
Qué esperar de las Bug Bounty
- Para empezar, deberías tener al menos conocimientos de ciberseguridad, pero incluso si eres principiante, muchas plataformas ofrecen materiales de formación gratuitos.
- No es lo mismo que un pentest. Incluso si ya eres un hacker experimentado, necesitarás aprender.
- Es un trabajo a distancia y flexible.
- Para la mayoría de los investigadores es un pasatiempo y un ingreso extra. Sólo el 20% de los hackers trabajan a tiempo completo.
- Puedes quedarte sin remuneración. Sólo la primera persona que encuentra el error recibe el pago. Si has estado trabajando en una vulnerabilidad durante un par de semanas, pero un competidor sube un informe antes, no te pagarán.
- Para ser un investigador de éxito, céntrate sólo en unos pocos programas (empresas). De este modo, podrás encontrar vulnerabilidades más graves.
- Los informes de calidad son muy importantes porque a través de ellos vendes tu trabajo. El informe determinará si se te paga y cuánto se te paga.
- Lee atentamente los programas de Bug Bounty de las empresas si no quieres convertirte en un caso criminal.
En conclusión, el término bug bounty se refiere a una recompensa monetaria ofrecida por una empresa a un investigador de seguridad que descubre e informa de fallos o vulnerabilidades. Muchas empresas tecnológicas de renombre, como Amazon, Google, Facebook y Microsoft, tienen programas de recompensas por fallos.
En pocas palabras, las recompensas por fallos siguen siendo una gran forma de ganar dinero para los investigadores de seguridad. Si estás interesado en ser un bug bounty hunter, encuentra un programa de recompensas, investiga y gana dinero.