Dentro de un entorno corporativo, la realizacin de pruebas de penetracin es una prctica que se utiliza desde hace mucho tiempo para auditar la seguridad de las aplicaciones y de la red.

Si bien este tipo de actividades generalmente se realizan desde el marco de un empleo en relacin de dependencia o de consultora y mediante la firma de un contrato, desde hace algunos aos, y cada vez con ms frecuencia, es comn que las compaas publiquen programas de recompensa, ms conocidos como Bug Bounty, a travs de plataformas como
HackerOne o BugCrowd, entre otras.

A travs de estas plataformas las empresas interesadas en auditar sus servicios logran conectar con hackers ticos de cualquier lugar del planeta dispuestos a poner a prueba la seguridad de sus servicios. Cualquiera puede inscribirse y participar de estos programas de Bug Bounty, ya sea como un hobby o como una actividad lucrativa. Las empresas cuando abren sus programas detallan el alcance del mismo y fijan distintos premios para quienes encuentren fallos, generalmente de segn la gravedad de los mismos.

El pago promedio para vulnerabilidades crticas en 2018 fue de USD 3,384 con un incremento interanual del 48%. En este escenario, HackerOne desembols en el ao 2018 un total de USD 19 millones a sus miembros por el pago de recompensas. Si bien adems del factor econmico hay una motivacin por aprender y por los desafos en s, segn datos de una encuesta realizada por HackerOne en 2018, los hackers ticos que se dedican mayormente a participar de programas de bug bounty logran obtener hasta 2.7 veces ms dinero que el salario que percibe un ingeniero de software que se dedica a tiempo completo. De hecho, a principio de 2019 un joven argentino de 19 aos se convirti en la primera persona en ganar ms de un milln de dlares a travs de HackerOne.

Respecto a la cantidad de usuarios en esta plataforma, en 2019 haban registrados ms de 300,000 hackers, cifra que representa un aumento del 100% con respecto al ao anterior.

Como referencia de las sumas de dinero que llegan a pagarse en algunos, Google anunci un programa de Bug Bounty para sus telfonos Pixel que ofrece hasta 1.5 millones de dlares para quienes encuentren vulnerabilidades crticas. De todas formas, si ests recin comenzando con esta actividad, no esperes que tus ganancias se acerquen a esas cifras en un corto plazo.


Ventajas de los programas de Bug Bounty


Los programas de bug bounty permiten a cualquier persona, con o sin conocimientos tcnicos previos, aumentar su nivel de experiencia en hacking tico. A su vez, permite a profesionales de otros campos obtener una perspectiva diferente sobre los problemas que pueden afectar a las aplicaciones, desde un marco prctico.
Se trata de una muy buena herramienta de aprendizaje y, en lneas generales, ha sido de gran ayuda en cuanto a la generacin de una mayor conciencia sobre la importancia del desarrollo de aplicaciones seguras. Tambin inspir el ingreso de mucha gente al campo de la seguridad informtica y ayuda a incrementar la seguridad en general, ya que miles de fallos de seguridad se han solucionado a travs de estas actividades.
Consejos para quienes estn comenzando con los programas de bug bounty


  • Empezar de a poco: Si no tienes experiencia previa, quizs sea una muy buena idea comenzar con un solo tipo de vulnerabilidad, por ejemplo, XSS, y luego comenzar a incorporar nuevas habilidades. Encontrar primero una vulnerabilidad que realmente te divierta e interese es importante.
  • No pensar solo en el dinero: Lo ms probable es que en un principio no sea posible ganar dinero. Si solo tienes esto en mente, puede que pases por alto ciertos detalles importantes y que no te tomes el tiempo necesario para hacer las cosas de la mejor forma. Lo ideal es poder dedicar tiempo suficiente para aprender y que disfrutes la actividad.
  • Hacer reportes claros: Si has descubierto una vulnerabilidad, es importante que sepas reportarla de forma eficiente. Algo en lo que las personas de ambos lados coinciden (bug hunters y empresas) es acerca de la importancia de la elaboracin de informes claros que indiquen paso por paso cmo se puede reproducir la vulnerabilidad y que expliquen el uso que un atacante podra darle a la misma, ya que esta informacin influye en que los hallazgos sean tenidos en cuenta.
  • Tomarse el tiempo de ir a fondo: Si has descubierto una vulnerabilidad, es recomendable que dediques el tiempo necesario para intentar ver todos los caminos que la misma abre para un atacante. Por ejemplo, si la vulnerabilidad fue introducida por un equipo de desarrollo de una determinada empresa, es posible que se repita en otros sitios. Investigar todas las posibilidades aumenta las chances de que seamos exitosos a la hora de convencer a la empresa de que lo que encontramos es serio.
  • Tomar la ruta menos usada: Si recin ests comenzando en el mundo del bug bounty es poco probable que encontremos vulnerabilidades en aplicaciones de empresas muy grandes, que seguramente ya han pasado por varias etapas de pentesting y que ya han sido sometidas a la auditora de muchos otros cazadores de bugs. Es recomendable evitar frustraciones y empezar por donde otros quizs no hayan mirado todava.
  • Estudia y practica: La nica forma de progresar en el mundo del Bug Bounty es dedicando tiempo. Es necesario practicar, leer reportes que hayan elaborado otras personas y estudiar las distintas metodologas. Por suerte, hay mucha gente en la comunidad que est dispuesta a compartir lo que sabe y eso es algo que definitivamente deberas aprovechar. Segn unos de los reportes de HackerOne, el 81% de los cazadores que participan de estos programas dijo haber aprendido por cuenta propia a travs de Internet, mientras que apenas el 6% dijo haber realizado un curso formal.

Realizar bug bounties puede ser una experiencia de aprendizaje muy importante. Ver vulnerabilidades en aplicaciones reales nos dar una idea de cules son los errores comunes que los desarrolladores de software cometen. De a poco te obligar a aprender de nuevas tecnologas con las que quizs nunca habas tenido que lidiar antes, expandiendo tu base de conocimiento. Si eres un Pentester, te dar una nueva perspectiva que ser til a tu trabajo.


Sitios y recursos recomendados para aprender sobre hacking tico



  • Hacker 101: plataforma de HackerOne que ofrece recursos educativos 100% gratuitos.
  • Hacksplaining: un proyecto que ofrece entrenamientos de seguridad dirigido a desarrolladores.
  • Hack This Site!: una iniciativa que ofrece un campo de entrenamiento para que usuarios puedan probar y explorar sus habilidades.
  • BugCrowd University: educacin y training para hacking.


Fuente:
WeLiveSecurity