Por qué las Empresas Necesitan un Programa Bug Bounty
Por qué las Empresas Necesitan un Programa Bug Bounty

Por qué todas las Empresas Necesitan un Programa Bug Bounty

Los ataques de hackers son ya habituales. No es de extrañar: según un informe de McAfee y el Center for Strategic and International Studies (CSIS), la economía mundial pierde unos 600.000 millones de dólares al año por culpa de la ciberdelincuencia.

La demanda de servicios de seguridad cibernética también está en aumento escandaloso. En 2021, el sector tuvo un valor de más de 165.780 millones de dólares (CSO España). Con el telón de fondo de las amenazas emergentes, están naciendo nuevas soluciones y métodos innovadores para combatir a los ciberdelincuentes. Una de estas soluciones son los programas bug bounty o recompensas por errores.

Concepto del programa de recompensas de errores
Concepto del programa de recompensas de errores

Qué es el Bug Bounty y Cómo Empezó

Un programa de bug bounty (recompensas por errores), consiste en recibir una recompensa (bounty) por encontrar una vulnerabilidad (bug) -fallo o error- en el código que se ofrece a los hackers de “sombrero blanco” (hemos cubierto el tema de los sombreros de hackers aquí). Por lo tanto, un programa de recompensas por errores es un proceso por el que una empresa invita a cualquiera a probar su producto en busca de vulnerabilidades. Si el hacker encuentra un fallo, se le recompensa.

El primer programa Bug Bounty comenzó en 1983. Hunter & Ready (Ready Systems) estaba probando su sistema operativo Versatile Real-Time Executive (VRTX). Cualquiera que encontrara un fallo y lo comunicara podía conseguir un Volkswagen Beetle.

El primer programa Bug Bounty por Hunter & Ready
El primer programa Bug Bounty por Hunter & Ready

Con el tiempo, los programas de recompensas por errores se hicieron cada vez más populares. Microsoft, Google, Apple y Facebook comenzaron a lanzar sus propios programas de recompensas por bugs. Sin embargo, en un principio, sólo las grandes empresas lo hicieron. Para el resto, los programas de recompensas por errores no estaban disponibles. Las razones fueron las siguientes:

  • El problema número uno era la visibilidad en los medios de comunicación. Sólo las empresas más grandes tenían la suficiente visibilidad como para atraer a una “masa crítica” de hackers para obtener un buen resultado. Además, ¿por qué querría un hacker blanco trabajar con una empresa apenas conocida, cómo podría estar seguro de que le pagarían por su trabajo? Las empresas más grandes son la opción más segura. Y podrían permitirse pagar una recompensa decente por las vulnerabilidades que encuentren.
  • En segundo lugar, una empresa debe contar con suficiente personal cualificado en su departamento de informática para gestionar de forma competente la avalancha de fallos (bugs) encontrados que envían los investigadores (hackers de sombrero blanco). Por ello, los programas de recompensas por errores han sido llevados a cabo principalmente por empresas de alta tecnología.

Con el desarrollo de Internet y la digitalización de las empresas, la necesidad de programas de recompensas por errores llegó también a las medianas empresas y a todo tipo de sectores. Un ejemplo reciente es el evento anunciado por ExpressVPN, un programa Bug Bounty que ofrece USD 100.000 a la primera persona que encuentre un ‘bug’ en su tecnología de servidores VPN, TrustedServer.

Sin embargo, muchas empresas no pueden (o podían, en un inicio) ejecutarlas por sí solas por las razones descritas anteriormente. Por ello, empezaron a aparecer plataformas de recompensas por errores (por ejemplo, Hackerone, HackenProof, Bugcrowd). Ayudan a llevar a cabo programas de recompensa de errores por parte de empresas que nunca gestionarían esta tarea por sí mismas.

¿Qué es una Plataforma de Bug Bounty?

  • Un sistema de tickets a través del cual los hackers de sombrero blanco pueden enviar informes (reportes) que contienen una descripción detallada de las vulnerabilidades así como los pasos necesarios para remediarlas.
  • Cuenta con personal cualificado que comprueba los informes de los investigadores, verifica los fallos (este proceso se denomina “triaje“), filtra los duplicados (cuando dos investigadores diferentes encuentran el mismo fallo, en este caso el que informó primero del fallo se lleva la recompensa) y lleva a cabo una comunicación diaria con el cliente y los investigadores.
  • La comunidad del sombrero blanco. Este es probablemente el elemento más importante de la plataforma. Las plataformas de recompensas de errores trabajan constantemente para aumentar el número de hackers white hat en su sitio . Este es su “superpoder” y su principal valor empresarial.
Concepto de Plataforma de Bug Bounty
Concepto de Plataforma de Bug Bounty

¿Cómo Funciona el proceso de Bug Bounty en la Plataforma?

  1. Lo primero que hacen juntos la empresa cliente y la plataforma de recompensas de errores es elaborar un “ámbito de trabajo. Este documento describe claramente qué recursos del cliente se van a probar, qué vulnerabilidades se recompensarán y en qué cantidad.
  2. Llevar a cabo un programa de recompensas por errores. El alcance del trabajo recopilado se publica en el sitio web y la plataforma de recompensas de errores inicia actividades de marketing para atraer a su comunidad de cazadores de errores (bug hunters) a este programa de recompensas de errores. El proceso en sí comienza: los hackers de sombrero blanco buscan vulnerabilidades en el producto.
  3. Los investigadores (también conocidos como hackers de sombrero blanco) envían informes sobre las vulnerabilidades encontradas a través de la plataforma de bug bounty, con una descripción de la vulnerabilidad en sí y, a menudo, con recomendaciones sobre cómo solucionarla.
  4. El equipo de triaje de la plataforma de bug bounty verifica los fallos que los hackers envían. Una vez que se ha verificado el fallo y el cliente ha corregido la vulnerabilidad en su producto, el hacker de sombrero blanco recibe una recompensa, es decir, dinero. Al mismo tiempo, adquiere reputación. Las plataformas tienen tablas de clasificación especiales para calificar a los hackers.

Cabe destacar que son las plataformas de recompensas por errores, y la gran demanda de estos especialistas, las que permiten a los hackers de sombrero blanco monetizar sus habilidades.

Antes de la llegada de las plataformas y el software de recompensas por fallos, prácticamente no había ninguna forma fácil y legal de que los hackers ganaran dinero. Ahora, pueden ayudar a las empresas, obtener un salario decente (la recompensa puede llegar a ser de 100.000 dólares por vulnerabilidad) y obtener reconocimiento público.

¿Cuáles son los Beneficios del Bug Bounty?

Dado que la ciberseguridad es una amenaza importante, las pruebas de vulnerabilidad deben realizarse con regularidad. Los pentests son rígidos y tardan semanas en programarse, lo que crea importantes bloqueos. Por otro lado, las recompensas por bugs son flexibles y pueden convertirse en un componente clave de sus protocolos de seguridad gracias a su implementación sencilla y adaptable. Los programas de bug bounty orquestan los resultados adecuados para detectar vulnerabilidades a las pocas horas de su lanzamiento.

Lo bueno de los programas de recompensas por errores es que no pagas un centavo hasta que se informa, se valida y se determina que la vulnerabilidad de seguridad está en línea con los términos del programa. No obstante, los hackers éticos competentes y confiables no son baratos.

Ilustración de ataque a empresas
Ilustración de ataque a empresas

¿Por qué las Empresas se dejan Hackear?

Por último, la pregunta principal es ¿por qué las empresas entregan voluntariamente sus productos a los hackers de sombrero blanco?

Porque el paradigma “voy a construir un súper muro y no me van a hackear” no funciona, trivialmente porque la tecnología y el software se actualizan casi cada semana. Todo el tiempo aparecen nuevos “agujeros”. El modo “estoy en la cabina” no ha funcionado durante mucho tiempo. La ciberseguridad ha pasado de ser un problema temporal a uno permanente (hay que vigilar y mejorar constantemente la seguridad). Por eso, las empresas de vanguardia han cambiado su mentalidad de “estoy en la cabina” a “si mi sistema es constantemente hackeado por los mejores hackers de sombrero blanco del mundo, encontrarán todos los ‘agujeros’ de mi código, y cuando llegue el verdadero ataque, los atacantes no podrán atravesar nuestras defensas”.

Conviene saber que las ciberamenazas no se van a ir a ninguna parte, sino que se van a hacer más fuertes con el tiempo. Aplazar esta cuestión “para más adelante” podría tener consecuencias devastadoras para cualquier empresa. La ciberseguridad se convertirá en algo tan habitual como la contabilidad.

Pero no hay que asustarse. La tecnología avanzada y los nuevos enfoques de ciberseguridad pueden proteger a las empresas el día de mañana. Por cada hacker malvado, hay un hacker de sombrero blanco.

Finalmente, aquí encontrarás un White Paper sobre la Implementación Empresarial de Programas Bug Bounty.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda