Los programas de bug bounty han dado mucho que hablar en las diferentes empresas que nos encontramos en la actualidad. Algunas no le dan importancia a las vulnerabilidades o errores que pueden contener sus activos propios, pero, lo que no saben es que cuanto más tarde se encuentren y se corrijan, peor va a ser el problema que acarreará.
Después de leer este artículo, podrá obtener un mayor conocimiento sobre el bug bounty, su concepto principal, términos legales e incluso el por qué es tan importante la introducción de un programa de bug bounty en una empresa.
¿Qué es el bug bounty?
El bug bounty es una recompensa que puede ser económica o de otro tipo y está destinado a los investigadores que descubren y reportan las vulnerabilidades de los activos digitales de la empresa.
Los programas de bug bounty son plataformas encargadas de interceder entre las empresas y los investigadores de seguridad con el fin de encontrar problemas de seguridad que, cuya empresa premia a los que descubren y reportan estos errores de software de aplicación.
Hoy día nos encontramos empresas como Google, que constan de su propia página web en el que permite que cualquier persona le informe de estos fallos. Por otro lado, también existen programas especializados en recopilar todas estas vulnerabilidades de bug bounty de la empresa, como Epic Bounties.
El objetivo de tener un programa de bug bounty en la empresa es que los expertos detecten estos errores antes de que “salga a la luz” públicamente con el fin de prevenir problemas de seguridad.
Historia del bug bounty
Si damos un paso atrás en el tiempo, podemos ver un poco de cómo ha transcurrido la historia de los programas de bug bounty.
1983 – Hunter & Ready lanzó el primer programa lo lanzó para su sistema operativo Versatile Real - Time Executive. La recompensa que ofreció para cualquiera que encontrase y notificase un error fue un Volkswagen Beetle.
1995 – Netscape, la primera recompensa monetaria en efectivo fue por el lanzamiento de su primer programa de bug bounty con el fin de encontrar vulnerabilidades y errores en su Netscape Navigator 2.0 Beta.
2002 – IDefense actuó como intermediario entre la variedad de proveedores de software y el investigador, ofreciendo a los investigadores recompensas de hasta 400$.
2004 – La fundación Mozilla también ofreció recompensas de hasta 500$ en su lanzamiento del programa de bug bounty para el investigador que encontrase vulnerabilidades en sus activos digitales.
2005 – Zero Day Initiative (ZDI) fue lanzado por TippingPoint como programa “intermediario”.
2007 – El concurso PWN2OWN, creado por el investigador Dragos Ruiu, se anunció con el fin de buscar errores de seguridad en MACS OSX debido a la falta de respuesta de Apple Inc.
2010 – Google inició recompensas de errores en aplicaciones web.
2011 – Facebook lanzó su programa de bug bounty “Whitehat” ofreciendo 500$ mínimos.
2013 – Microsoft y Facebook se vincularon para el patrocinio de Internet Bug Bounty con el fin de encontrar vulnerabilidades en frameworks.
Actualidad – El gran mercado actualmente cuenta con una gran variedad de programas continuos de bug bounty en sus aplicaciones web.
La gran variedad de empresas que hay en el mundo actual, lleva a cabo la ejecución de sus propios programas de bug bounty, cuyas empresas mencionaremos en el siguiente punto.
¿Es importante tener un programa de bug bounty en la empresa?
El objetivo de las empresas es poder disminuir riesgos, mejorar los procesos de seguridad y minimizar con ello las complicaciones dentro del entorno organizacional. Para ello deben disponer de una información clara sobre esos riesgos que quieren corregir y eliminar.
Con el lanzamiento de un programa de bug bounty en la empresa ayudará a llevar a cabo revisiones continuas de seguridad y garantizar riesgos mínimos en los activos digitales.
Empresas con su propio programa de Bug Bounty
Dicho anteriormente, existen hoy en día empresas que han lanzado sus propios programas de bug bounty. Estas empresas son organizaciones con un nivel de madurez alto que necesitan una revisión constante y la existencia de auditorías de seguridad en sus infraestructuras:
Legalidad en un programa de bug bounty
Debido a la existencia del reporte de vulnerabilidades de manera pública, hay investigadores de seguridad que reportan dichos errores a la empresa en cuestión. Este caso puede tener consecuencias legales para el investigador – es por ello importante tener en cuenta intermediarios como programas de bug bounty.
Aspectos legales de bug bounty
Con la evolución de la tecnología poco a poco empezaron se ha podido observar un gran aumento de riesgos en la seguridad de red de las empresas.
La integración de investigadores de seguridad se ha demostrado que es una acción muy rentable para este tipo de empresas. A partir de ahí, se han creado leyes como Ley de equipos de respuesta a incidente y caza cibernética del Departamento de Seguridad Nacional de 2019”.
Con la creación de esta ley, los puntos claves que lleva a cabo es la introducción de asistencias para la restauración de servicios tras algún incidente cibernético, la identificación de posibles intrusiones, el desarrollo de estrategias para prevenir y por tanto proteger los activos digitales de la empresa, y finalmente proporcionar recomendaciones a los propietarios para mejorar la seguridad de la red de su empresa.
Contribuir a una mayor concienciación cibernética
Los programas de bug bounty nos han demostrado que son una gran solución para empresas muy consolidadas, organizados para encontrar vulnerabilidades y errores en el software de la empresa acabando con una recompensa razonable para el investigador que haya encontrado y reportado dicha vulnerabilidad.