Todo el software tiene errores o fallas que causan problemas. Van desde problemas banales que no afectan el rendimiento del software de manera importante, hasta vulnerabilidades de seguridad graves.
Los errores pueden ser difíciles de detectar, razón por la cual muchas empresas de tecnología tienen programas de recompensas por errores. Pero, ¿qué son exactamente los programas de recompensas por errores? ¿Cómo funcionan y cómo ayudan a mejorar la seguridad de un producto?
Cómo funcionan los programas de recompensas por errores
Las empresas lanzan programas de recompensas por errores para incentivar piratas informáticos de sombrero blanco para buscar agujeros de seguridad y vulnerabilidades similares en el software. Por lo general, hay un premio monetario más que decente para aquellos que descubren un error, sin importar cuán insignificante pueda parecerle a la persona promedio.
Y no son solo las empresas pequeñas y prometedoras las que tienen programas de recompensas por errores. De hecho, la mayoría de los gigantes tecnológicos los ejecutan, incluidos Google, Microsoft, Facebook y Apple. Los detalles sobre estos programas generalmente se pueden encontrar en el sitio web oficial de una empresa. La mayoría de las veces, hay varios niveles o categorías. Pero, en principio, cuanto más significativo sea un error, mayor será la recompensa.
Una vez que un hacker de sombrero blanco descubre un error, envía un informe de divulgación detallado que explica lo que ha encontrado. Luego, los ingenieros de la empresa revisan e investigan la presentación, y si los hallazgos del investigador resultan ser precisos y útiles, se les notifica y reciben una recompensa monetaria.
Este sistema funciona tanto para empresas como para investigadores independientes. Desde la perspectiva de cualquier empresa, es mejor que un hacker ético descubra un error que un actor de amenazas, que probablemente continuaría con explotarlo antes de que se repare, causando potencialmente millones en daños. Los piratas informáticos, por otro lado, hacen una buena parte del cambio participando en programas de recompensas por errores; algunos incluso obtienen ingresos de tiempo completo descubriendo vulnerabilidades de software.
Ejemplos de programas de recompensas por errores que mejoran la seguridad del software
En teoría, es bueno saber cómo funcionan los programas de recompensas por errores, pero echemos un vistazo a algunos ejemplos reales de empresas que pagan sumas masivas a hackers de sombrero blanco.
En cooperación con la plataforma de recompensas por errores Immunefi, la plataforma puente blockchain descentralizada Wormhole lanzó en febrero de 2022 un programa de recompensas que ofrece $ 10 millones a cualquiera que descubra una seguridad crítica bicho. Muy pronto, un hacker de sombrero blanco que usaba el seudónimo satya0x descubrió uno. Como explicó Immunefi en un Medio post, el error podría haber provocado el bloqueo de los fondos de los usuarios, por lo que satya0x recibió $ 10 millones por revelarlo.
También en febrero de 2022, el intercambio de criptomonedas base de monedas pagó una recompensa por errores de $250,000 a un investigador independiente por descubrir una falla importante en la interfaz comercial de la plataforma.
laboratorios aurora, la compañía detrás de la máquina virtual Aurora Ethereum (ETH), pagó una enorme recompensa de $6 millones en abril de 2022. El dinero fue otorgado a un hacker ético conocido como pwning.eth, luego de que descubrió una vulnerabilidad que habría permitido a los actores de amenazas acuñar un suministro infinito de la criptomoneda Ethereum en Aurora motor.
El gigante canadiense del comercio electrónico ShopifyMientras tanto, rompió su propio récord en 2021, cuando sus pagos de recompensas totalizaron $ 1 millón. Ese año, la empresa recibió un total de 3000 informes de errores de hackers de sombrero blanco de todo el mundo. En respuesta, Shopify elevó su recompensa máxima a $100,000.
Estas cifras pueden parecer absurdamente altas, pero en realidad no lo son en comparación con la cantidad de dinero y datos que los ciberdelincuentes podrían ganar al descubrir vulnerabilidades. Wormhole solo fijó una recompensa por errores de $10 millones después de perder $320 millones debido a una infracción. Aurora Labs recompensó a un hacker de sombrero blanco porque $ 6 millones palidecen en comparación con perder $ 240 millones valor de ETH, mientras que Coinbase y Shopify probablemente ahorraron decenas de millones al compensar a los diligentes investigadores
Los 5 mejores programas de recompensas por errores que pagan bien
Debido a que las empresas realmente ahorran una tonelada de dinero al establecer programas gratificantes de recompensas por errores, hay una variedad de opciones entre las que los investigadores pueden elegir. Si usted es un hacker de sombrero blanco o le gustaría convertirse en uno, aquí hay cinco programas de recompensas por errores bien pagados que debe considerar.
Apple Security Bounty es uno de los programas de recompensas por errores más populares del mundo. Las recompensas van desde $ 5,000 por descubrir vulnerabilidades en la pantalla de bloqueo, hasta $ 2 millones por agujeros de seguridad que permitirían a un actor de amenazas eludir Protecciones del modo de bloqueo. Todo lo que tiene que hacer para enviar un informe de error (que debe ser completo y detallado) es iniciar sesión con su ID de Apple.
Microsoft ejecuta otro programa popular de recompensas por errores, que ofrece una amplia gama de recompensas. Al igual que el de Apple, el programa de Microsoft se divide en docenas de categorías diferentes. Por ejemplo, si descubre una vulnerabilidad en Microsoft. NET framework, puede esperar un pago de hasta $15,000. Pero si descubres uno en Microsoft Hyper-V, puede obtener una recompensa de hasta $ 250,000.
El programa de recompensas de Samsung se centra en los productos móviles de la empresa. Tiene políticas relativamente estrictas, así que asegúrese de leerlas detenidamente antes de enviar un error. Además, tenga en cuenta que los ingenieros de la compañía solo tienen en cuenta los errores que afectan la seguridad de los dispositivos Samsung. Las recompensas oscilan entre $ 200 y $ 200,000.
En el programa de recompensas Google Bug Hunters, las recompensas ascienden a $30,000. Los cazadores de errores, como se suele llamar a los hackers de sombrero blanco, pueden informar errores en Gmail, YouTube, BlogSpot y otros servicios de Google. Este programa tiene una comunidad muy activa y su propia universidad en línea, que puede ser un gran recurso para investigadores novatos.
El programa de recompensas de Meta cubre Facebook, Instagram, WhatsApp, Messenger y muchos otros productos. Para ser considerado para una recompensa (el mínimo es de $500), debe encontrar vulnerabilidades que representen un riesgo para la seguridad o la privacidad y cumplir con requisitos claramente definidos. Todos los informes válidos reciben una respuesta. Si varios cazadores detectan el mismo problema, la recompensa se otorga a la primera persona que envíe un informe.
Programas Bug Bounty: lo mejor de la seguridad colaborativa
Los programas de recompensas por errores representan lo mejor de la seguridad colaborativa. Y no son solo las empresas de tecnología y los investigadores de seguridad cibernética los que se benefician de ellos, todos lo hacen, incluidos los consumidores.
Para algunos, la caza de errores es un pasatiempo y para otros una carrera completa. Si cae en la última categoría, o aspira a hacerlo, hay muchos cursos en línea que vale la pena echarle un vistazo.
