Bugbounty, todo lo que debes saber

[LUK]

¿Qué es un Bug Bounty?

El concepto de Bug Bounty se deriva de su propio nombre. "Bug" se refiere a un error o problema en una pieza de software o hardware, mientras que "Bounty" se refiere a una gratificación o recompensa otorgada a quien identifique el bug. Por lo tanto, un programa de Bug Bounty es un acuerdo entre una organización y auditores de seguridad en todo el mundo en el que la organización pone a disposición su infraestructura tecnológica y activos digitales para que los auditores busquen errores en ellos, a cambio de una remuneración que puede ser económica o no. De esta manera, las organizaciones pueden mejorar la seguridad de sus sistemas y protegerse contra posibles ataques.

Historia del Bug Bounty

Bug Bounty no es un concepto nuevo. Uno de los casos más conocidos es el del matemático y experto en ciencias de la computación Donald Knuth, autor del libro The Art of Computer Programming, considerado un libro de referencia en el mundo del desarrollo de software. En 1964, Knuth comprendió que era imposible publicar su obra sin errores, por lo que decidió hacer un llamado a la comunidad en el mismo libro, ofreciendo un cheque por valor de 256 centavos de dólar a cualquier persona que encontrara errores en su obra. Con el tiempo, el valor económico del cheque perdió importancia, convirtiéndose en un artículo coleccionable. De esta forma, Donald Knuth se convirtió en uno de los primeros casos documentados de un individuo que creó un programa de Bug Bounty.

Otras iniciativas de Bug Bounty documentadas incluyen la realizada por la empresa Hunter & Ready, Inc., que en 1983 ofreció un Volkswagen Beetle (conocido coloquialmente como "Bug") o 1000 dólares de la época en efectivo a cualquier persona que identificara un error en su sistema operativo en tiempo real VRTX (Versatile Real-Time Executive). Estas iniciativas han pasado a la historia como ejemplos de programas de Bug Bounty. Hoy en día, el concepto de Bug Bounty sigue siendo relevante y es utilizado por muchas organizaciones para mejorar la seguridad de sus sistemas y protegerse contra posibles ataques.

No obstante, fue hasta 1995 cuando el mundo conocería el primer programa de Bug Bounty propiamente dicho, que no se lanzaba por diversión o una estrategia de marketing para mostrarse robusto ante competidores, sino que con reglas claras, un enfoque muy orientado a la seguridad de un software y recompensas económicas (con un presupuesto inicial de 50.000 dólares), fue lanzado por los desarrolladores del famoso navegador web de la época Netscape Navigator 2.0 un programa de recompensas que acuñó por primera vez el término Bug Bounty Program y que para muchos es catalogado como el primero de su tipo.

Crecimiento y consolidación del Bug Bounty

El mercado del Bug Bounty ha crecido rápidamente desde el lanzamiento del programa de Netscape. Actualmente, hay más de un millón de usuarios llamados "bug hunters" que buscan una forma de generar ingresos legalmente a través de la búsqueda de errores en las grandes corporaciones. Las plataformas de bugbounty líderes en este campo, como HackerOne®, Bugcrowd® y YesWeHack®, han utilizado el concepto de gamificación para atraer y mantener a un gran número de hackers que auditen a sus clientes sin una vinculación laboral directa. Esto mantiene a los hackers motivados y compitiendo entre ellos por mantenerse en distintos rankings, por recibir invitaciones a eventos reconocidos o simplemente por obtener puntos que mejoran su reputación y pueden ser canjeados por souvenirs de cada compañía.

Tipos de Bug Bounty

Las compañías pueden crear sus propios programas de Bug Bounty asignando equipos internos que se encarguen de recibir, validar y gestionar los errores reportados. Esto puede hacerse mediante un correo electrónico o algún sistema especializado. También existen plataformas especializadas como las previamente mencionadas o Intigriti® que facilitan la mediación, validación y proporcionan una gran base de auditores de seguridad dispuestos a revisar la seguridad de los activos digitales de las compañías a cambio de una recompensa.
Los programas de Bug Bounty pueden ser lanzados directamente por la compañía o a través de una empresa especializada. Los programas se dividen en dos tipos: públicos y privados.

Programas públicos

Son abiertos y cualquier persona puede registrarse y participar en ellos. Son utilizados por organizaciones grandes y maduras en seguridad e infraestructura que tienen muchos activos que requieren un gran número de personas revisando su seguridad en todo momento.

Programas privados:

Seleccionan cuidadosamente las personas que pueden participar en ellos, enviando invitaciones directamente, filtrando por número de puntos o verificando la identidad de los participantes. Son preferidos por organizaciones que tienen un primer acercamiento al mundo del Bug Bounty o cuyos entornos a auditar por diferentes motivos no pueden soportar tanta carga y principalmente por programas que prefieren la calidad sobre la cantidad, permitiéndoles elegir los auditores que finalmente tendrán accesos a los activos de su organización.
Los programas de Bug Bounty, tanto públicos como privados, pueden ser Vulnerability Disclosure Programs (VDP), es decir que no ofrecen recompensas económicas. En su lugar, ofrecen puntos en las plataformas de Bug Bounty, souvenirs o recursos de la propia compañía, como millas de viajero frecuente o latas de bebida energizante. Mientras que los programas preferidos por los auditores son claramente los programas con recompensas o bounties que normalmente pagan en efectivo por cada problema de seguridad identificados.

Ventajas y desventajas de Bug Bounty

Desventajas del Bug Bounty

Si bien los programas de recompensas por errores cada vez son más populares y muchas empresas pueden verse atraídas por esta popularidad, también es bueno que se sepan todos los problemas que pueden acarrear para una organización la implementación de un programa de este tipo. Algunas de las desventajas pueden ser:

Recibir masivamente reportes

Los programas de BugBounty atraen a un gran número de hackers que envían reportes de seguridad, algunos de los cuales pueden no ser de alta calidad. Por ello, las empresas deben estar preparadas para gestionar el volumen de reportes que recibirán y contar con un equipo que les permita separar los reportes de calidad de los que no lo son. Para ello, es importante definir de forma clara las reglas del programa para evitar problemas con los bugs hunters a la hora de filtrar los reportes.

Controlar a los bug hunters

Al trabajar con una comunidad global de bug hunters, es posible que no se tenga un control total sobre su comportamiento y los métodos utilizados para buscar vulnerabilidades. Esto puede dificultar la gestión del programa de Bug Bounty y aumentar el riesgo de exposición de datos sensibles o confidenciales durante las investigaciones. Los bugs hunters tienen distintas motivaciones y pueden utilizar herramientas o tecnologías que pongan en riesgo la disponibilidad de los servicios auditados, tomar la decisión de explotar el problema de seguridad encontrado para su propio beneficio o causar daños a la reputación de la organización. Por lo tanto, es importante establecer medidas de control adecuadas para minimizar estos riesgos.

Altos costos

Antes de ofrecer recompensas a externos que encuentren errores en su software o activo digital, es importante asegurarse de que dichos elementos hayan sido revisados rigurosamente en términos de seguridad. De lo contrario, corre el riesgo de que el número de problemas de seguridad encontrados por los auditores externos sea tan alto que supere el presupuesto destinado para este rubro. Un famoso ejemplo de esto es el caso de la empresa Shopify, que lanzó un programa de Bug Bounty tan vulnerable que tuvo que detenerlo rápidamente y llegó a pagar sumas de hasta 356.000 dólares diarios en bounties debido a los numerosos problemas de seguridad en el software expuesto. Por lo tanto, es importante asegurarse de que el software esté lo suficientemente seguro antes de lanzar un programa de Bug Bounty.

Dificultad para encontrar auditores de calidad

Aunque existe una gran cantidad de bug hunters que están dispuestos a participar en programas de Bug Bounty, puede ser difícil encontrar a los mejores y más experimentados hackers, personas que tienen una buena combinación de habilidades técnicas y habilidades de investigación, ya que normalmente estos perfiles suelen tener trabajos a tiempo completo bien remunerados en consultoras de seguridad o están ocupados con otros proyectos, lo que puede hacer que no estén disponibles para participar en un programa de Bug Bounty. Esto puede limitar el número de personas disponibles para invertir una buena cantidad de tiempo en entender y auditar sistemas complejos y robustos de una organización, lo que requiere de auditores cuidadosos y experimentados.

Ventajas del Bug Bounty

Los programas de Bug Bounty pueden ofrecer a las organizaciones una amplia gama de ventajas, como una mayor eficiencia y eficacia en la detección de errores, una mayor seguridad de la información y una mejor relación con la comunidad de hackers. Algunas de las ventajas son:

Sin limitantes

Al involucrar a una comunidad de hackers externos en un programa de Bug Bounty, una empresa puede aprovechar sus habilidades y conocimientos para identificar vulnerabilidades de manera más eficiente y efectiva. En comparación con un equipo interno o externo de seguridad, una comunidad de hackers externos puede invertir una cantidad ilimitada de tiempo e investigación sobre los activos para identificar errores. Además, al ofrecer recompensas a los participantes es posible motivar a los hackers a trabajar de manera más rápida y eficiente en la búsqueda de vulnerabilidades. De esta manera, una empresa puede romper las limitaciones normales de una auditoría de seguridad y mejorar la protección de sus sistemas y datos.

Pagas por resultados

Para grandes empresas con miles de activos que se encuentran expuestos a internet, auditar todos estos sistemas puede ser bastante costoso ya que normalmente las consultoras de seguridad cobran basados en tiempo y auditar tantos activos supone un costo elevado. En estos casos, el Bug Bounty puede ser más rentable que un pentesting, ya que solo se pagan por los problemas de seguridad identificados y validados. Además, no está limitado por el número de personas que tiene una consultora externa o un equipo interno de seguridad, ni por el tiempo que suelen tener los procesos de revisión de seguridad tradicionales.

Imagen proyectada

Al contar con un programa de Bug Bounty, una empresa puede mejorar la imagen que proyecta ante el público en cuanto a seguridad. Ofreciendo recompensas a los hackers que encuentren vulnerabilidades, la empresa demuestra su compromiso con la protección de los datos de sus clientes y usuarios, fomenta que se reporten los problemas en lugar de que personas malintencionadas los exploten y muestra su capacidad para trabajar de manera colaborativa y abierta. Esto genera confianza y credibilidad ante el público y mejora la reputación de la empresa.

Reportes novedosos y de actualidad

Tener un programa de Bug Bounty ayuda a una empresa a mantenerse a la vanguardia en cuestiones de seguridad al involucrar a una comunidad de hackers externos en la búsqueda de vulnerabilidades. Al ofrecer recompensas por los problemas de seguridad que se reporten, se fomenta que esta comunidad busque rápidamente problemas de seguridad actuales y potencialmente desconocidos por el equipo interno de seguridad de la empresa. De esta manera, un programa de Bug Bounty puede mejorar la respuesta de una empresa ante posibles problemas de seguridad.


Preguntas frecuentes

¿Por qué es beneficioso un Bug Bounty?

Implementar un programa de Bug Bounty en tu empresa puede traer numerosos beneficios, como la mejora de la seguridad. Estos programas permiten aprovechar el talento de miles de investigadores de seguridad en todo el mundo, lo que brinda una diversidad de enfoques y técnicas para identificar y corregir vulnerabilidades que podrían pasar desapercibidas. Además, se logra una reducción de costos, ya que en lugar de contratar un costoso equipo de seguridad interno, solo se paga por los resultados. Es decir, se recompensa a los investigadores solo cuando encuentran una vulnerabilidad real y útil, lo que puede generar un ahorro significativo. Asimismo, implementar un programa de Bug Bounty mejora la reputación de la empresa, ya que demuestra a los clientes y socios el compromiso con la seguridad de los sistemas y la disposición a invertir en ella en un mundo cada vez más digital.

¿Por qué un Bug Bounty en español?

Un programa de Bug Bounty en español permite a las empresas de habla hispana aprovechar el talento de los investigadores de seguridad hispanohablantes y enfrentar de manera efectiva las amenazas cibernéticas en la región.

Conclusión

En un mundo cada vez más digital y globalizado, la seguridad informática es crucial. Los programas de Bug Bounty representan una estrategia efectiva para mejorar la seguridad de los sistemas de la empresa, reducir costos y mejorar la reputación. Además, un Bug Bounty en español permite a las empresas de habla hispana aprovechar el talento de los investigadores de seguridad hispanohablantes y enfrentar de manera efectiva las amenazas cibernéticas en la región.


Fuente: https://www.dragonjar.org/bugbounty.xhtml