Bug bounty, hackers a la caza de recompensas

Me pBug Bountyarece que se me había pasado comentaros pero…

Todo comenzó en 2004 cuando un pionero Mozilla decidió cambiar las reglas del juego y puso en marcha un programa de recompensas para aquellas personas que detectaran bugs (errores de software) en su navegador. Pero no fue hasta 2010 que Google decidió tirar del carro con su “Bug Bounty Program”, y entonces empezó la gran era de las recompensas, ya que compañías como Facebook, Paypal y Microsoft siguieron su estela. El último en unirse al club ha sido Twitter con su programa en HackerOne. Estos programas permiten reportar cualquier tipo de vulnerabilidad encontrada tanto en productos como en servicios asociados a dichas compañías.

El trato que se ofrece sigue una estrategia win-win, ya que la empresa localiza vulnerabilidades, lo que mejora su seguridad tras parchearlas, y la persona que ha localizado el bug obtiene una recompensa. Esta práctica permite a las compañías no tener que contratar un gran número de investigadores para la búsqueda de errores, ya que investigadores de seguridad externos o hackers realizarán ese trabajo para ellos.

Otro de los objetivos principales de este tipo de programas, es intentar controlar de alguna forma la compra/venta de vulnerabilidades en el mercado negro. Aunque es importante comentar, que por regla general las recompensas ofrecidas suelen estar muy por debajo de los precios de esas mismas vulnerabilidades en la Deep Web (generalmente no admisibles para una empresa).

De todas formas, existen diferentes tipos de recompensas que no tienen por qué ser económicas. A continuación explico los 3 tipos más comunes:

  • Reward: No quieren que muestres al mundo tu gran contribución a la seguridad de sus sistemas, sino que te ofrecen una retribución económica a cambio de tu silencio total o de una revelación del bug de una forma responsable (después de que ellos lo hayan parcheado). Este dinero puede ser para la persona que envía el bug o puede donarse a la ONG que la persona decida. Las recompensas van desde los 100 dólares hasta incluso los 200.000 dólares en algunos casos concretos, dependiendo del fallo encontrado y de la compañía que esté detrás del producto o servicio.
  • Hall Of Fame: La idea en este caso es poner tu nombre en un precioso muro virtual de su página web indicando y agradeciendo tu gran ayuda desinteresada. Te conviertes en famoso de la noche a la mañana, bueno o esa es la idea en un principio.
  • Swags: Te agasajan con una gran cantidad de merchandising y cupones descuento para productos de la empresa con la intención de conseguir ablandar tu corazón y que no reveles el bug en ningún lugar antes de que éste haya sido parcheado. Esta técnica cada vez está ganando más adeptos.

Además, los investigadores o hackers que indiquen a la empresa ideas útiles para protegerse contra dicho error, suelen tener un bonus especial.

Cuando se envía un bug a este tipo de programas, hay que tener en cuenta que pueden no considerarlo lo suficientemente importante o incluso pueden llegar a indicar que no se trata de un bug sino que ha sido diseñado de esa forma y que no se trata de un riesgo que comprometa su seguridad, por lo que no recibirás nada.

El reporte de vulnerabilidades a empresas que no tienen bug bounty, tiende a conllevar malas respuestas y amenazas de índole legal. Personalmente lo considero un error, ya que incita a no volver a avisarles de ningún tipo de error que tengan. Actualmente existen páginas como Bugsheet y Bugcrowd, que nos ayudan a saber rápidamente si cierta empresa dispone o no de un programa de recompensas.

Finalmente, me gustaría concluir con dos recomendaciones:

  • Empresas: Cualquier empresa que disponga de software que se ofrezca fuera del ámbito interno, debería disponer de un programa de recompensas. Puede parecer contraproducente, ya que se puede pensar que animas a miles de personas a intentar romper tu producto en busca de una jugosa recompensa, pero eso será así ofrezcas o no algo al descubridor de esos bugs.
  • Hackers e investigadores de seguridad: Todos sabemos que se consigue más dinero por un 0-day en el mercado negro, pero los bug bounty son la mejor alternativa para no desviarse del buen camino y lograr así no acabar en Alcatraz. Además, sirve para fortalecer y  mejorar el ecosistema del software, que es, al fin y al cabo, el negocio de todos los que estamos metidos en el mundo de la seguridad.

El que avisa no es traidor.

Iskander Sanchez-Rola
Acerca de
Founder/Content Director
Expertise: Web Security and Privacy
iskander-sanchez-rola.com