Artículos DD.HH. Economía Sociedad Tecnología

La importancia de los bug bounty programs

Vector concept in flat retro style - bug and virus in the programming code
Print Friendly, PDF & Email

Suiza, el país de los constantes referéndums y votaciones, pone a prueba un sistema de voto electrónico desarrollado por Swiss Post, y convoca a hackers de todo el mundo a llevar a cabo un test de intrusión premiado con hasta 50,000 francos suizos entre el próximo 25 de febrero y el 24 de marzo, con el fin de poner a prueba su seguridad.

Cada día más, los denominados bug bounty programs, programas de recompensa por la localización de errores en aplicaciones, se convierten en un elemento clave en la seguridad de las compañías. Disponer de un buen programa de este tipo con recompensas competitivas ha pasado a ser no una garantía de no tener problemas, pero casi una necesidad en términos de reputación. Muchos, de hecho, achacan la lentitud en la solución del último problema de seguridad de Apple en FaceTime a problemas en el funcionamiento operativo de su bug bounty program, establecido hace tres años, que impidieron al joven que descubrió la vulnerabilidad reportarla adecuadamente.

A la hora de considerar el establecimiento de un programa de este tipo, debemos tener en cuenta la conveniencia de aprender de la experiencia: algunas compañías especializadas en el tema como HackerOne o Bugcrowd o llevan coordinando programas de recompensas ya algunos años y han sido capaces de levantar importantes inversiones, lo que puede convertirlas en socios interesantes si no se cuenta con habilidades internas adecuadas. En general, y a pesar de las muchas noticias que hablan de compañías o instituciones con fama y reconocimiento que los establecen y pagan importantes sumas a quienes detectan problemas, la realidad es que unos pocos profesionales tienden a concentrar la mayoría de los premios, mientras una amplia base se reparte, en general, premios más pequeños. Las leyendas sobre hackers legendarios capaces de vivir cómodamente de este tipo de programas contrastan con una realidad en la que la mayoría de los participantes perciben más bien poco dinero y de manera muy irregular, lo que hace difícil dedicarse a ello de manera exclusiva.

En cualquier caso, este tipo de programas suponen en general una manera muy eficiente de poner a prueba la seguridad de nuestra compañía y sus aplicaciones, y si bien no son para cualquiera, sí pueden convertirse en un elemento importante que cambie la percepción y mentalidad que tenemos de la seguridad corporativa: quien detecta y reporta un problema de seguridad no tiene por qué ser un delincuente ni un chantajista, y de hecho, según la ética hacker, es muy posible que no lo sea. Muchos problemas en empresas de todo tipo provienen de malas reacciones ante reportes de este tipo en los que aquel que los encontró no fue capaz de encontrar una manera adecuada de reportarlos, o no recibió recompensa alguna por ello (o incluso al revés, se encontró con una total pasividad o con una denuncia ante la policía). Destinar un presupuesto a pagar por este tipo de reportes y publicitarlo adecuadamente en algún lugar de nuestra página corporativa fácil de encontrar no es en absoluto vergonzante, no supone un desprecio a nuestros profesionales de seguridad, y es muy posible que nos pueda llegar a librar de bastantes problemas.

Fuente

Please follow and like us: