En auge los programas de ‘Bug Bounty’

En la actualidad, entre las dos plataformas principales de ‘Bug Bounty’ (HackerOne y BugCrowd) suman un total de 704 programas activos. Una cifra que no para de subir año tras año.

Pero empecemos por el principio: un programa de seguimiento de errores ‘Bug Bounty’ es una plataforma enfocada a intermediar entre los investigadores de seguridad y las empresas en el reporte y pago de vulnerabilidades. Esta relación de simbiosis entre ambos se produce debido a que el investigador de seguridad recibe reconocimiento y compensación económica y las empresas mejoran su seguridad con un reporte responsable de fallos.

Los entes de intermediación que son los ‘Bug Bounties’ ofrecen una figura necesaria en la industria para la protección de los investigadores de seguridad y para dotar de garantías a las empresas. Han sido habituales los casos de investigadores que entendían como una buena acción el hecho de notificar a una empresa un problema de seguridad, pero que veían cómo les demandaban, o cómo un informe de vulnerabilidades hacia las empresas se convertía en una extorsión.

Este tipo de acciones ha llevado a que se defina bien la manera de reportar una vulnerabilidad. De manera que cada investigador en relación con sus creencias y su experiencia aboga por un modelo u otro. En este sentido, los sistemas de ‘Bug Bounties’ abogan por el reporte responsable de vulnerabilidades. Este modelo se basa,en dotar a las empresas de un tiempo por el cual deben de corregir la vulnerabilidad y una vez esté corregida, se publica el descubrimiento.

Dos datos que vienen a ensalzar la importancia que estas plataformas es que Google anunció un programa de ‘Bug Bounty’ para sus teléfonos Pixel en el cual ofrecían hasta 1.5 millones de dólares. Y a principios del año pasado,un joven argentino de 19 años se convirtió en la primera persona en ganar más de un millón de dólares a través de la plataforma de ‘Bug Bounty’ HackerOne.

Las empresas que deciden comenzar en estos programas de recompensas deben comprender que en seguridad no existe una única solución que nos libre de los problemas que acarrea una mala gestión de seguridad. Las empresas deben entender que estas herramientas nos apoyarán en mejorar la detección de vulnerabilidades, pero esto debe ir acompañado de un análisis y seguimiento de las mismas, entre otras muchas cosas.

Una empresa con un nivel de seguridad avanzado debería de poder analizar cada una de las vulnerabilidades encontradas. No solo deben crear procesos que impidan que este tipo de vulnerabilidades vuelvan en el tiempo a producirse. También deben encontrar en sus propios sistemas otras vulnerabilidades de comportamiento igual o parecido fruto de un profundo análisis de la misma.

Con esta información entendemos que los programas de ‘Bug Bounties’ son una gran herramienta para que investigadores independientes trabajen en la seguridad de su compañía, pero esto no le librará de tener un equipo de seguridad. De hecho, para sacarle el máximo jugo a estos programas, deberá de disponer de un equipo de seguridad alineado con el desarrollo que le ayude a exprimir esta información de una forma eficiente.

Desde Hispasec trabajamos para apoyar a las empresas que decidan dar el paso a integrarse en programas de ‘Bug Bounty’ dotándolos de esa capa de análisis qué les ayude a sacarle el máximo partido posible.