Para reforzar nuestra serie de artículos sobre la historia de la piratería informática, hoy exploramos el mundo de las Bug Bounty. Contrariamente a lo que podría pensarse, no se trata de una referencia a un bicho que se tragó una tableta de chocolate, sino a la caza de vulnerabilidades informáticas.
¿Qué es un Bug Bounty?
Una bug bounty es una invitación oficial y remunerada de las empresas a los hackers para que descubran posibles errores y/o fallos de seguridad en sus sistemas. Gracias a estos programas, los problemas pueden detectarse y resolverse antes de que sean conocidos o experimentados por el público en general.
Estos programas también se conocen como programas bug bounty.
¿Son nuevos los programas Bug Bounty?
Fue uno de los pioneros de Internet quien lanzó este principio a mediados de los años 90. En aquella época, Netscape Communication, famosa por su navegador, contaba con una entusiasta comunidad de ingenieros muy inspirados. Entre estos aficionados también había empleados de la empresa. Por aquel entonces, uno de los jefes del departamento técnico tuvo la idea de crear el primer programa Bug Bounty. Mediante recompensas, se incentivaba a los empleados para que fueran más allá en su búsqueda de bugs y fallos de seguridad. También se invitó a Internet a hacer lo mismo, a través de foros dedicados a Netscape y diversos sitios web no oficiales.
El éxito de este programa continúa hoy en día. No sólo lo ofrecen las empresas, sino también algunos gobiernos y ejércitos.
Los principales participantes en un programa Bug Bounty no son las empresas ni los desarrolladores del software que se somete a prueba, sino los hackers. Se les conoce por diversos nombres, desde investigadores a cazadores. Los hackers se consideran no hostiles y se denominan hackers éticos cuando trabajan para descubrir un fallo de seguridad. Aunque se les pague por sus descubrimientos, el reto impuesto por ciertos programas Bug Bounty basta para motivar a muchos de ellos.
Ciberseguridad: ¿Cuáles son los distintos tipos de piratas informáticos?
¿No tienen ya las empresas sus propios proveedores de seguridad?
El principal atractivo de los programas Bug Bounty reside en el hecho de que, en teoría, una empresa tiene a su disposición las 24 horas del día a un gran número de hackers motivados con una amplia gama de habilidades, repartidos por todo el mundo. Los cazadores más activos se encuentran en India, Rusia y Estados Unidos.
Las Bug Bounty se han convertido rápidamente en una norma de ciberseguridad. Aunque las empresas que realizan auditorías de seguridad siempre son útiles, sus misiones suelen centrarse en puntos muy concretos. Los programas Bug Bounty son mucho más abiertos y fomentan la creatividad.
Al principio, la idea de invitar a piratas informáticos a irrumpir en sus sistemas pudo desanimar a muchos directores de empresa, pero los descubrimientos y el gran número de informes sobre vulnerabilidades de sistemas muy relevantes acabaron por convencer a los últimos escépticos.
Bug Bounty: ¿cómo funciona?
Proteger los datos confidenciales es la principal razón por la que las empresas recurren a los investigadores. Aunque gigantes como Microsoft, Facebook y Google pueden permitirse coordinar y administrar ellos mismos un programa de Bug Bounty, no es el caso de todas las empresas. Existen plataformas que permiten crear estos grupos de caza.
¿Cuáles son las normas de un Bug Bounty?
Los programas de Bug Bounty están sujetos a normas estrictas. Si un hacker no cumple estas normas, las infringe y puede no recibir ninguna compensación económica o ser vetado por completo.
Los investigadores deben tener cuidado de no dañar la propiedad o los datos durante sus pruebas de penetración. Todas las vulnerabilidades comunicadas deben poder explotarse directamente. Aunque exista un baremo para las bonificaciones, la cuantía está sujeta directamente a la discreción de la empresa que haya puesto en marcha el programa de caza.
Cada informe debe ir acompañado de una declaración de principios y una descripción detallada de las medidas que deben adoptarse. El pentester* también debe explicar cómo el fallo que ha detectado puede afectar a los datos de un usuario y/o al correcto funcionamiento de una aplicación/software/sistema.
*Pentester: Hacker que explora diferentes escenarios de intrusión en un sistema de información.
¿Qué VPN tienen programas Bug Bounty?
Invisible para el gran público, este eterno ballet, esta caza sin fin, tiene su parte de beneficios para los internautas. Muchas aplicaciones y servicios seguros no serían posibles sin este tipo de iniciativas. Las redes privadas virtuales no son una excepción.
Entre las VPN que han creado programas de caza de vulnerabilidades se encuentran NordVPN, PureVPN y Private Internet Access.
CyberGhost, una de las empresas más conocidas cuando se trata de proteger la privacidad en línea, acaba de lanzar su programa de caza de fallos. Invita a expertos en seguridad independientes a descubrir vulnerabilidades en algunos de sus sistemas. Esta VPN barata gestiona todo el programa sin pasar por una plataforma. Hay cuatro niveles de premios, en función de las vulnerabilidades comunicadas, y los participantes pueden recibir hasta 1.250 dólares.