En el ámbito del desarrollo de software y la ciberseguridad, los programas de tipo “Bug Bounty” son cada vez más desafiantes y solicitados por las empresas. Pero, ¿qué son exactamente estos programas?
El primer programa, también conocido como recompensa por errores, fue lanzado por Netscape en 1995 y, desde entonces, se han vuelto cada vez más populares. No ha dejado de crecer el número de empresas que buscan los servicios de hackers éticos para que les reporten errores, exploits y vulnerabilidades sobre su software. Además, lo que hace tan atractivo a estos programas es la compensación monetaria que algunas empresas pueden llegar a ofrecer por reportar vulnerabilidades.
En la actualidad, las principales plataformas que sirven de comunicación entre las empresas y los hackers, son HackerOne, BugCrowd y YesWeHack. Cualquiera puede inscribirse y participar de estos programas de “Bug Bounty”, ya sea como un hobby o como una actividad lucrativa. Las empresas cuando abren sus programas detallan el alcance del mismo y fijan los distintos premios para quienes encuentren errores.
Aunque en España ya hay algunas empresas privadas, como Telefónica Tech que, a través de su compañía de seguridad digital ElevenPaths, aspira a crear una plataforma de Bug Bounty privada, sigue existiendo un gran vacío en este asunto. En nuestro país se debería apostar por una mayor sensibilización de programas “Bug Bounty” para que las empresas confiaran en estas plataformas.
A nivel mundial, es bastante habitual que empresas privadas como Google, Facebook y Yahoo tengan sus propios programas de “Bug Bounty”. Sin embargo, son muy pocas las instituciones públicas europeas que han hecho uso de ellos o que lo hayan manifestado. Algunos de los pocos casos conocidos son: la financiación de 14 programas de Bug Bounty de código abierto por parte de la Comisión Europea; en el sistema de voto electrónico suizo; el proyecto gubernamental “StopCovid France” para gestionar la emergencia sanitaria; y, en los Centros Nacionales de Seguridad Cibernética de Reino Unido y Holanda.
Ejecutar un programa de recompensas de errores requiere mucho más trabajo del que muchos creen. Para garantizar que una organización esté lista y equipada para lanzar un programa de “Bug Bounty”, debería comenzar con programas de pruebas de penetración más tradicionales o programas privados limitados de recompensas de errores (con una invitación privada a los hackers) para capacitar a sus equipos de seguridad y, así solidificar un proceso de respuesta de vulnerabilidad antes de evolucionar a un programa abierto y público.
También es importante que una organización considere cuidadosamente cuándo se presentará el programa y, siempre, ofreciendo garantías de ciberseguridad.
En definitiva, la creciente popularidad de los programas de recompensas y su mayor demanda en empresas privadas, debería incentivar a que las instituciones públicas apostaran más por estos programas. Su rápido aumento e integración en la industria de la seguridad de la información, provocará que estos programas sean cada vez más usados en el futuro.
Autora: Lidia Castell García
CONOCIENDO A LIDIA CASTELL GARCÍA
El creciente desarrollo y adaptación de nuestro día a día a las nuevas tecnologías ha provocado la aparición de nuevos delitos digitales. Ante estos nuevos ciberdelitos surge la necesidad de prevenirlos y detectarlos, por ello mi interés en especializarme en la seguridad informática.
Criminóloga resolutiva y entusiasmada por participar en políticas de prevención y asesoramiento de víctimas/personas. Amplios conocimientos en una ciencia multidisciplinar.