Bug Bounty Cómo Ganar Dinero con Hacking
Bug Bounty Cómo Ganar Dinero con Hacking

Bug Bounty: Cómo Ganar Dinero con el Hacking

Un hacker independiente puede ganar 200 dólares en 5 minutos, pero no te apresures a romperlo todo. Te diremos cómo hacerlo legalmente con el programa Bug Bounty.

El hacking ético es una de las tendencias en ciberseguridad. Hoy explicaremos cómo los hackers de sombrero blanco pueden ganar dinero cazando vulnerabilidades en empresas conocidas de todo el mundo.

Hacker en acción de Bug Bounty
Hacker en acción de Bug Bounty

Reconocimiento y Recompensa

El Bug Bounty es un programa de recompensas por el que los investigadores (hackers) buscan brechas en la seguridad digital de una empresa. Cuando un cliente decide utilizar los servicios de los hackers, se elabora un documento especial, un programa de recompensas por fallos (bugs). A veces est√° incrustado en otros documentos de seguridad. Describe las condiciones en las que se puede ir en busca de bugs.

Si el hacker es el primero en encontrar el problema y envía un informe claro y bien documentado, será recompensado. Las recompensas no siempre son dinero, así que lee cuidadosamente las políticas (programas) si piensas ganar dinero de esta manera. Los hackers no sólo acuden a las Bug Bounty para obtener recompensas materiales. Algunos buscan experiencia, ganarse una reputación y resolver problemas interesantes con los servicios y productos que más les interesan.

A veces, las empresas publican en sus programas reconocimientos a investigadores concretos (hackers), lo que también puede ser un formato de recompensa o un buen complemento al dinero. Algunos ejemplos son Discord y Netflix.

Reconocimiento de Bug Bounty en Discord
Reconocimiento de Bug Bounty en Discord

A su vez, para las empresas, las Bug Bounty son una oportunidad de evitar costes multimillonarios y da√Īos a la reputaci√≥n en caso de un hackeo real.

Importante

No hay que confundir el Bug Bounty con el pentesting. En este √ļltimo caso, se firma un contrato con una persona que se sabe que est√° cualificada y que tiene unos plazos claros. Los pagos son por tiempo, no por encontrar vulnerabilidades.

Programas de Recompensas por Errores (Bug Bounty)

Las recompensas pueden ser p√ļblicas o privadas. Las primeras est√°n al alcance de todos, aunque a veces se encuentran requisitos de experiencia y rendimiento previo. Para los programas privados, la propia empresa selecciona a los expertos adecuados. Si te invitan a un programa privado, el n√ļmero de competidores es significativamente menor y, por tanto, las posibilidades de ganar dinero son mayores.

Es habitual que los clientes comiencen con programas privados. Una vez que sean capaces de manejar un gran n√ļmero de informes, algunos pasar√°n a un formato p√ļblico. A su vez, los hackers sin experiencia en Bug Bounty comienzan con programas p√ļblicos para construir una cartera y ganar una buena reputaci√≥n.

Los programas se alojan en los propios sitios web de los clientes y en plataformas especiales (más adelante se habla de ellas). Muchas empresas producen este tipo de software, así que si estás investigando una organización específica, puede valer la pena buscar Bug Bounty en su documentación de seguridad.

Plataformas de Interacción entre Hackers y Empresas

Para facilitar a las empresas la b√ļsqueda de investigadores y a los investigadores la b√ļsqueda de programas de Bug Bounty de inter√©s, existen muchas plataformas especiales. Aqu√≠ es donde se comunican los hackers, donde se env√≠an los informes y donde las empresas pagan las recompensas a trav√©s de estos sistemas.

1. HackerOne

HackerOne es una startup que fue una de las primeras en promover el tema de la seguridad crowdsourced. Actualmente es una de las plataformas m√°s populares para los programas de Bug Bounty. Para participar en las b√ļsquedas de bug bounty, s√≥lo hay que registrarse. Hay formaci√≥n gratuita para los novatos (Hacker101).

Para que te inviten a programas privados atractivos, necesitas una buena puntuaci√≥n. En HackerOne, esta m√©trica es la reputaci√≥n, que se otorga en un formato de puntos dependiendo del tama√Īo de la recompensa y la criticidad de la vulnerabilidad. Al mismo tiempo, la reputaci√≥n puede reducirse si se env√≠an malos informes o spam.

En “Hacktivity” puedes explorar las √ļltimas vulnerabilidades encontradas. Los perfiles de las empresas tambi√©n tienen una secci√≥n de “Thanks”, una especie de tabl√≥n de honor.

Sección Hacktivity de HackerOne
Sección Hacktivity de HackerOne

Puedes encontrar más información sobre todos los matices de su funcionamiento en la documentación. La propia plataforma HackerOne también puede comprobarse en busca de vulnerabilidades: tiene un perfil en el sitio web.

Perfil de recompensas de HackerOne
Perfil de recompensas de HackerOne

2. Bugcrowd

Bugcrowd es una plataforma bastante popular utilizada por varias empresas conocidas. Tienen una taxonom√≠a de gravedad de las vulnerabilidades (Vulnerability Rating Taxonomy – VRT) por la que se eval√ļa y recompensa a los hackers. Las empresas no necesitan especificar en sus pol√≠ticas qu√© vulnerabilidades corresponden a cada nivel de gravedad.

Los programas educativos aquí (Bugcrowd University) son más bien para aquellos que ya tienen una formación en ciberseguridad. Introducen a los hackers en las particularidades del trabajo con Bug Bounty. Las lecciones consisten en videos, presentaciones y laboratorios.

Las organizaciones tienen una secci√≥n de “anuncios” en sus perfiles donde se publican actualizaciones sobre diversos temas. Los hackers que han enviado al menos un informe relevante en este programa se publican en la secci√≥n “Hall of fame” (Sal√≥n de la fama).

Salón de la fama de Bugcrowd
Salón de la fama de Bugcrowd

Se obtienen puntos por los buenos informes. También hay insignias para los logros, al igual que en el juego.

Insignias en Bugcrowd
Insignias en Bugcrowd

Puedes encontrar información detallada sobre el uso de la plataforma Bugcrowd aquí.

3. Synack

Synack es una plataforma que automatiza la b√ļsqueda de vulnerabilidades explotables para ser investigadas por hackers independientes. A diferencia de las plataformas anteriores, aqu√≠ los hackers son examinados cuidadosamente. S√≥lo el 10% de los candidatos acaban en el equipo rojo. Tambi√©n tienen una bonita gu√≠a para los allegados de los hackers √©ticos.

Recursos de Synack
Recursos de Synack

4. Intigriti

Intigriti es una plataforma europea. Antes de registrar una cuenta, es mejor leer atentamente sus condiciones. En cuanto a la formaci√≥n, los creadores de la plataforma ofrecen un curso de v√≠deos animados sobre diversas vulnerabilidades, as√≠ como una gu√≠a sobre c√≥mo redactar informes y una selecci√≥n de herramientas de hacking. Los investigadores con los mejores resultados se publican en una “leaderboard” (tabla de clasificaci√≥n).

Leaderboard de Intigriti
Leaderboard de Intigriti

Las plataformas adecuadas con diferentes condiciones son numerosas. No es difícil encontrar otras opciones en la comunidad de Reddit y en GitHub, pero las empresas más conocidas publican sus programas en HackerOne y Bugcrowd.

Cu√°les son las Condiciones

En sus programas de Bug Bounty, la mayoría de las empresas especifican

  • donde se pueden buscar las vulnerabilidades: aplicaci√≥n web, aplicaci√≥n m√≥vil, dominios espec√≠ficos, etc;
  • el importe y las condiciones de la remuneraci√≥n;
  • requisitos para el experto;
  • problemas de divulgaci√≥n de vulnerabilidades al p√ļblico;
  • s√≥lo las cuentas que le pertenecen pueden ser atacadas;
  • en su informe, los analistas de seguridad de una empresa concreta deber√≠an ser capaces de reproducir las vulnerabilidades encontradas;
  • errores conocidos para minimizar la replicaci√≥n;
  • secci√≥n safe harbor (refugio legal) – condiciones de protecci√≥n contra la responsabilidad por incumplimiento de la ley;
  • las empresas se preocupan principalmente por la seguridad de los datos de sus usuarios. Por encontrar vulnerabilidades por las que se puede acceder a datos personales: la mayor recompensa;
  • la ingenier√≠a social est√° prohibida.

Ejemplos de condiciones de Bug Bounty de empresas conocidas:

Apple

El problema debe haberse detectado en las versiones m√°s recientes del software. Si Apple no ha tenido conocimiento del problema descubierto, se puede obtener un 50% adicional de la recompensa especificada. Se definen las categor√≠as en las que se pueden buscar las vulnerabilidades, pero se se√Īala que si el fallo se encuentra en otro lugar y supone una amenaza significativa para los usuarios, el hacker tambi√©n ser√° pagado. Remuneraci√≥n: entre 5.000 y 1 mill√≥n de d√≥lares.

Telegram

Telegram solía organizar concursos de hacking, pero el servicio también tiene un programa de Bug Bounty. Si encuentras una vulnerabilidad en una aplicación o protocolo que implique cambios en el código, el servicio pagará entre 500 y 100.000 dólares o más.

Tinder

Tienen un programa privado, pero pueden investigar y enviar informes que aprobar√°n o no. Est√° prohibido utilizar herramientas de escaneo automatizadas y probar ataques DoS.

Airbnb

Indica las particularidades de las pruebas de los diferentes productos. Paga hasta 15.000 dólares. No se pueden enviar preguntas sobre las vulnerabilidades encontradas al servicio de asistencia. Esto interrumpe el trabajo.

ClickUp

Solo interesados en encontrar vulnerabilidades para app.clickup.com. Los datos del usuario están ahí. Se enumeran las vulnerabilidades relevantes e irrelevantes. Sólo puedes obtener una recompensa si no eres de un país sancionado por Estados Unidos. La recompensa es de 25 a 250 dólares a través de PayPal.

Qué esperar de las Bug Bounty

  1. Para empezar, deberías tener al menos conocimientos de ciberseguridad, pero incluso si eres principiante, muchas plataformas ofrecen materiales de formación gratuitos.
  2. No es lo mismo que un pentest. Incluso si ya eres un hacker experimentado, necesitar√°s aprender.
  3. Es un trabajo a distancia y flexible.
  4. Para la mayoría de los investigadores es un pasatiempo y un ingreso extra. Sólo el 20% de los hackers trabajan a tiempo completo.
  5. Puedes quedarte sin remuneración. Sólo la primera persona que encuentra el error recibe el pago. Si has estado trabajando en una vulnerabilidad durante un par de semanas, pero un competidor sube un informe antes, no te pagarán.
  6. Para ser un investigador de éxito, céntrate sólo en unos pocos programas (empresas). De este modo, podrás encontrar vulnerabilidades más graves.
  7. Los informes de calidad son muy importantes porque a través de ellos vendes tu trabajo. El informe determinará si se te paga y cuánto se te paga.
  8. Lee atentamente los programas de Bug Bounty de las empresas si no quieres convertirte en un caso criminal.

En conclusión, el término bug bounty se refiere a una recompensa monetaria ofrecida por una empresa a un investigador de seguridad que descubre e informa de fallos o vulnerabilidades. Muchas empresas tecnológicas de renombre, como Amazon, Google, Facebook y Microsoft, tienen programas de recompensas por fallos.

En pocas palabras, las recompensas por fallos siguen siendo una gran forma de ganar dinero para los investigadores de seguridad. Si est√°s interesado en ser un bug bounty hunter, encuentra un programa de recompensas, investiga y gana dinero.

Mi Carro Close (√ó)

Tu carrito está vacío
Ver tienda