La importancia de los bug bounty programs

IMAGE: Venimo - 123RF

Suiza, el país de los constantes referéndums y votaciones, pone a prueba un sistema de voto electrónico desarrollado por Swiss Post, y convoca a hackers de todo el mundo a llevar a cabo un test de intrusión premiado con hasta 50,000 francos suizos entre el próximo 25 de febrero y el 24 de marzo, con el fin de poner a prueba su seguridad.

Cada día más, los denominados bug bounty programs, programas de recompensa por la localización de errores en aplicaciones, se convierten en un elemento clave en la seguridad de las compañías. Disponer de un buen programa de este tipo con recompensas competitivas ha pasado a ser no una garantía de no tener problemas, pero casi una necesidad en términos de reputación. Muchos, de hecho, achacan la lentitud en la solución del último problema de seguridad de Apple en FaceTime a problemas en el funcionamiento operativo de su bug bounty program, establecido hace tres años, que impidieron al joven que descubrió la vulnerabilidad reportarla adecuadamente.

A la hora de considerar el establecimiento de un programa de este tipo, debemos tener en cuenta la conveniencia de aprender de la experiencia: algunas compañías especializadas en el tema como HackerOne o Bugcrowd o llevan coordinando programas de recompensas ya algunos años y han sido capaces de levantar importantes inversiones, lo que puede convertirlas en socios interesantes si no se cuenta con habilidades internas adecuadas. En general, y a pesar de las muchas noticias que hablan de compañías o instituciones con fama y reconocimiento que los establecen y pagan importantes sumas a quienes detectan problemas, la realidad es que unos pocos profesionales tienden a concentrar la mayoría de los premios, mientras una amplia base se reparte, en general, premios más pequeños. Las leyendas sobre hackers legendarios capaces de vivir cómodamente de este tipo de programas contrastan con una realidad en la que la mayoría de los participantes perciben más bien poco dinero y de manera muy irregular, lo que hace difícil dedicarse a ello de manera exclusiva.

En cualquier caso, este tipo de programas suponen en general una manera muy eficiente de poner a prueba la seguridad de nuestra compañía y sus aplicaciones, y si bien no son para cualquiera, sí pueden convertirse en un elemento importante que cambie la percepción y mentalidad que tenemos de la seguridad corporativa: quien detecta y reporta un problema de seguridad no tiene por qué ser un delincuente ni un chantajista, y de hecho, según la ética hacker, es muy posible que no lo sea. Muchos problemas en empresas de todo tipo provienen de malas reacciones ante reportes de este tipo en los que aquel que los encontró no fue capaz de encontrar una manera adecuada de reportarlos, o no recibió recompensa alguna por ello (o incluso al revés, se encontró con una total pasividad o con una denuncia ante la policía). Destinar un presupuesto a pagar por este tipo de reportes y publicitarlo adecuadamente en algún lugar de nuestra página corporativa fácil de encontrar no es en absoluto vergonzante, no supone un desprecio a nuestros profesionales de seguridad, y es muy posible que nos pueda llegar a librar de bastantes problemas.


This article was also published in English on Forbes, “You may never have heard of bug bounty programs…«

この記事は日本語で出版されました, «世界で重要度を増す「バグ報奨金」制度«


11 comentarios

  • #001
    Isangi - 11 febrero 2019 - 12:19

    Quien ve algo negativo en esto, ¿que argumentos aporta?

    Es un win-win-win en toda regla, gana la empresa, gana el hacker ganan los usuarios/ciudadanos.

  • #002
    Gorki - 11 febrero 2019 - 14:15

    Es conveniente que existan empresas especializadas en testear la existencia de posibles errores de seguridad en las nuevas aplicaciones, y que se acuda a ellos para una final puesta a punto de una aplicación antes de sacarla al mercado, porque el 80% de los fallos, son producidos por muy pocos tipos de actuaciones, que son desconocidos de los programadores normales, pero lo son, de los expertos Hakers.

    Limpiado este 80% de posibles fallos, aun quedaría un 20% que precisa de nueva inventiva que se puede dar a localizar mediante bug bounty programs.

    Desgraciadamente nunca podremos decir que una aplicación es «perfecta» y «segura» , lo mas que podemos decir es que ha sido muy probada y que ha pasado todo tipo de pruebas, pero siempre puede ocurrir que ante una prueba diferente, se produzca un error. imprevisto.

    • xaquin - 11 febrero 2019 - 17:52

      El último párrafo vale para acreditar el ADN científico de la teconología. Y así, de paso, definir la diferencia entre el mundo científico y el de las creencias.

      • Isangi - 11 febrero 2019 - 17:54

        No sé si estoy interpretando más de la cuenta de tú respuesta, pero:
        ¿me explicas en que ciencia aplicada no se cumple ese párrafo?

        • Gorki - 11 febrero 2019 - 18:40

          Por ejemplo en geometría si demostramos un teorema, se cumplirá en todos los casos, sean las longitudes que sean la de los catetos, sabremos que la hipotenusa al cuadrado vale exactamente igual a la suma de los cuadrados de los catetos. Esa certidumbre no la proporciona la informática, no podemos dar esa seguridad. Por ejemplo, se ha probado con un programa informático que se cumple la conjetura de Collatz, para cualquier valor menor que 2 elevado a la 58, sin embargo seguimos considerando posible que no se cumpla para un valor superior.

          Desgraciadamente esto no lo comprtende el público en general y se siguen confiando a programas informaticos procesos cada vez mas críticos, y luego ocurre el «apagón de Nueva York de 1977» o enviamos un telescopio miope con un coste de miles de dólares al espacio.

          • Isangi - 12 febrero 2019 - 08:59

            NO entiendo yo que la geometría sea una ciencia aplicada o al menos no me refería a ello así.

            Cuando aplicas la geometría/matematicas a la arquitectura/ingenieria te encuentras sorpresas, porque ese cemento que debía reducir su longitud solo un 1% lo ha hecho 1,1% y esa «hipotenusa» ya no mide los 100m que esperabamos sino 99 y la cubierta no cierra.

            A eso me refería, que en teoría y entornos cerrados la informática tampoco falla, puedes ejecutar un programa en un entorno cerrado y con siempre las mismas variables y hardware y tendrás siempre la misma respuesta(bueno salvo si el programa está diseñado para generar una respuesta aleatoria jeje).

  • #007
    Javier Lux - 12 febrero 2019 - 17:07

    Siempre me he negado al voto electrónico. Siempre existe una posibilidad de fraude, mientra que con el sistema actual, teniendo interventores en TODAS las mesas de TODOS los partidos, la seguridad del voto está totalmente GARANTIZADA.

    Usemos papel reciclado, pero no usemos voto electrónico, hackeable, para certificar el momento más importante de la democracia.

    • Gonzalo - 14 febrero 2019 - 23:18

      Y otro problema es que un hacker que se colase en el sistema podría averiguar que vota cada persona y hacer una lista chivata de lo que ha votado cada uno.

    • Santo - 15 febrero 2019 - 17:30

      Ud. no ha estado en las meses electorales de mi pueblo. Que durante el recuento de las municipales, siempre suelen multiplicarse los votantes.

      Y que hace que yo vea el método electrónico más fiable, y más descentralizado.

      Aunque supongo que un sistema mixto, donde la máquina identifique al individuo, emita el el voto digital en tiempo real a la central de datos y a la vez deposite un comprobante en papel en un urna sellada, igual tranquiliza a todos los públicos.

  • #010
    Javier - 13 febrero 2019 - 13:49

    Hola Enrique. Por qué no se desarrolla una votación desde el certificado digital?

  • #011
    Michel Henric-Coll - 13 febrero 2019 - 17:40

    «Quien ve algo negativo en esto, ¿que argumentos aporta?»

    Yo soy un hacker muy competente y muy malvado. Busco, y encuentro, una vulnerabilidad en la seguridad, me callo y no recojo la recompensa, porque lo que puedo ganar introdiciendome en el sistema supera con mucho el premio otorgado.
    Y no tengo riesgo si me descubren urgando porque me acojo al programa de busquedad de fallos con las mejores intenciones de ayudar.

    Por supuesto, ni soy yo hacker, ni soy malvado. Era para contestar a Isangi.

    Ah, y estoy muy a favor de estos programas de incentivos. Espero sin embargo que los creadores de los softwares tengan la suficiente humildad como para aceptar sus fallos en lugar de molestar si alguien encuentra uno.

Dejar un Comentario a Gorki

Los comentarios están cerrados