Un programa de Bug Bounty es un “contrato” que una empresa u organización hace con una comunidad de hackers éticos con el fin de que éstos detecten vulnerabilidades en los sistemas y redes de dicha empresa.
Un hacker ético es una persona que usa sus conocimientos avanzados en informática para hacer el bien. Su trabajo consiste en realizar pruebas en sistemas y redes con el fin de detectar vulnerabilidades, que a su vez, son reportadas para que las empresas tomen las medidas necesarias y eviten futuros ataques.
Estos programas generalmente se llevan a cabo para ejecutar los servicios de revisión de aplicaciones, pruebas de penetración, revisión de código, ingeniería inversa, entre otros y por lo general, se llevan acabo antes de que la versión final salga al público.
¿QUIÉNES USAN PROGRAMAS DE BUG BOUNTY?
El uso de este tipo de hacking ético ha ido en aumento en la última década, empresas como Mozilla, Facebook, Yahoo, Google, Reddit, Square, Netflix y Microsoft emplean estos programas premiando al hacker que encuentre vulnerabilidades. El valor del premio depende de la gravedad de la vulnerabilidad que hayan encontrado.
Sin embargo, el poder hacer uso de las habilidades de un hacker ético no se limita a solamente empresas de este tamaño, cualquier organización que tome en serio su ciberseguridad puede ofrecer programas de recompensa a través de plataformas como YesWeHack.
¿CUÁNTO GANAN LOS HACKERS ÉTICOS?
Según el portal Welivesecurity, en 2018 el pago a hackers éticos que encuentran vulnerabilidades importantes fue de hasta $3,384 dólares. Y esto incrementa anualmente en un 48%, debido a la adopción acelerada de este tipo de técnicas.
En 2018, la plataforma de Bug Bounty HackerOne, hizo una encuesta donde se descubrió que los hackers que se dedican a estos programas, perciben hasta 2.7 veces más dinero que el salario de un ingeniero de software de tiempo completo.
Como referencia de la importancia del Bug Bounty, Google anunció un programa para detectar vulnerabilidades en sus teléfonos Pixel, en el que la recompensa por encontrar alguna flaqueza crítica en el sistema asciende hasta 1.5 millones de dólares.
Con estos números, no es de extrañar que estos programas vayan en ascenso.
CASO DE NETFLIX
En el año 2018, la famosa compañía de streaming anunció el lanzamiento de un programa de recompensas Bug Bounty de carácter público para detectar vulnerabilidades en su sitio web, aplicaciones y en otras funcionalidades de la empresa.
Un año después de su lanzamiento, la empresa había repartido más de $100,000 dólares a un total de 657 investigadores y reportaron haber resuelto, gracias al programa, más de 100 vulnerabilidades o “bugs” que de no haberse detectado pudieron haber causado daños importantes a su infraestructura tecnológica.
Además, como mencionan en su blog oficial, el programa de Bug Bounty ha sido excelente para “iluminar partes” de su entorno a las cuáles no habían puesto especial atención y que resultan de gran importancia para la compañia.
Netflix reconoce la importancia de sus programas de recompensa y planea seguir extendiendo el alcance del mismo durante los siguientes años.
PLATAFORMAS POPULARES DE BUG BOUNTY:
Entre las plataformas más populares donde las empresas y los hackers pueden encontrar programas de recompensa están:
Si quieres saber más acerca de los programas de Bug Bounty, te invitamos a ver el webinar de KIPPEO con YesWeHack, dónde podrás saber como adoptar una estrategia de Bug Bounty en tu organización:
