Bug bounties en 2022

Free photos of Lucky charm

El fenómeno de los “bug bounties” está cada vez más en boga. Si aún no conoces de qué se trata, estás cerca de hacerlo, ya que hablamos de una estrategia de ciberseguridad cada vez más utilizada por las empresas y con cada vez más interesados por las perspectivas económicas que ofrece. 

Una de las cosas que las empresas más temen (sobre todo las empresas tecnológicas o aquellas cuyo proceso de digitalización está avanzado), es que un intruso doblegue sus defensas informáticas y entre en su sistema. Una vez dentro, esas empresas son vulnerables a la sustracción de datos, a la manipulación de procesos y a un sin fin de amenazas, ya que muchas de ellas, a día de hoy, dependen de su estructura online para operar y es allí donde almacenan mucha de la información más relevante para la compañía. 

El hecho de que las soluciones convencionales no sean eficaces al 100% a la hora de atajar las amenazas que pueden poner en jaque estos sistemas ha llevado a muchas empresas a buscar alternativas. Una de ellas —relativamente reciente— es precisamente la del impulso de los programas de bug bounties. A través de ellos, las empresas tratan de atraer a hackers e informáticos para que encuentren vulnerabilidades que afecten a sus sistemas y entren en los mismos. Los programas están dirigidos, por tanto, a hackers éticos especializados en realizar pruebas de infiltración en softwares y sitios web, una profesión que puede ser de lo más lucrativa, entre otras cosas, porque encontrar estos bugs en los sistemas de grandes empresas plantea, no solo un reto apasionante para muchos, si no la posibilidad de ganar mucho dinero. La regla en este sentido es sencilla: cuánto más grande sea la vulnerabilidad localizada, más grande será la recompensa (cuestión que depende también, por supuesto, del tamaño de la empresa para la que se trabaje). La lógica que siguen las empresas a la hora de realizar estos programas —que pueden suponer, como decimos, una inversión importante— es, por tanto, la siguiente: si mis sistemas están amenazados, antes o después se va a descubrir la vulnerabilidad, y si esto va a ocurrir, mejor que quién lo haga sea un aliado. 

Los programas de bug bounties son una forma de tener más ojos puestos en los sistemas que se quieren defender, habida cuenta de que ningún sistema será nunca infalible, por muchos blindajes y tests que le incorporemos. Pero las empresas no son las únicas beneficiadas, los hackers éticos encuentran a través de estos programas una nueva línea de negocio que amplía sus opciones de remuneración enormemente.

Si empiezas a investigar sobre este tema, probablemente darás con programas de bug bounties de empresas de seguridad como el reciente Bug Bounty de ExpressVPN o de grandes empresas de la talla de Google, Microsoft, Facebook, Yahoo, Rockstar Games, Yelp, Uber, o United Airlines, entre otros. Muchas de ellas ofrecen recompensas que pueden llegar a los miles de dólares, además de otros beneficios basados en su actividad y sector (ej. United Airlines ofrece millas de viaje en vez de dinero). Estos programas, por el nombre y el tamaño de la compañía son los más sonados, pero lo cierto es que el mercado está plagado de programas de bug bounty que buscan explotar y reportar las vulnerabilidades de los sistemas de las diferentes empresas que los proponen. Esta lista se va ampliando cada año, y a día de hoy es ya larguísima. Podemos encontrar en ella empresas que van desde la A a la Z. Aquí van unas cuantas más que se han suscrito a esta tendencia y que te pueden sonar para que te hagas una idea de la magnitud del fenómeno: Accenture, Airbnb, Aliexpress, Android, Apple, o Asana (¡y vamos solo por la “A”, ¡y solo solo unas pocas de las que encontramos bajo esta letra!). 

De modo que, si estás interesado, ya ves que trabajo no te va a faltar.