Seguridad

¿Qué son los bug bounty programs?

bug bounty programs
Escrito por Marcos Merino

Grandes compañías están integrado hackers externos en sus estrategias de seguridad: ¿Se han vuelto locas… o sólo se incorporan a una tendencia en auge?

El pasado 5 de enero, uno de los mayores fabricantes de coches del mundo -General Motors- puso en marcha su primer programa de divulgación de vulnerabilidades, en colaboración con el portal HackerOne.

Jeff Massimilla, responsable de ciberseguridad de General Motors, afirmó que su compañía daba de esta forma un primer paso para tender puentes hacia los investigadores de seguridad externos, lo que permitiría aumentar el ritmo al que GM descubre y soluciona los problemas de seguridad.

El nuevo programa de divulgación de vulnerabilidades proporciona una garantía a dichos investigadores (o, hablando en plata, ‘hackers de sombrero blanco’) de que GM trabajará con ellos sin exponerles a acciones legales, siempre y cuando respeten unas directrices publicadas en la web del programa. Massimilla acepta que en GM carecen de experiencia con este tipo de programas, por lo que la gestión de las aportaciones ha quedado en manos de HackerOne.

¿Integrar a hackers externos a la compañía en su estrategia de seguridad? ¿Se han vuelto locos en General Motors? ¿O sólo son los últimos en incorporarse a una tendencia en auge?

¿Qué son los ‘bug bounty programs’?

Hasta hace unos años, si un hacker de sombrero blanco investigaba las vulnerabilidades de su sistema o producto tecnológico gratuito y compartía sus conclusiones con los creadores del mismo, lo más habitual era que le despacharan con un ‘gracias’ y, en el mejor de los casos, con algún material de merchandising de la compañía. Y de hecho, tampoco era infrecuente que su ‘recompensa’ fuera una demanda legal, por parte de compañías que lo apostaban todo a la estrategia de ‘seguridad por ocultación‘.

Pero en los últimos años, la industria tecnológica ha experimentado un giro radical en su forma de relacionarse con los hackers: se ha dado cuenta de que la mejor forma de protegerse de los más destructivos es incentivar a los demás a que hagan lo que mejor saben hacer (buscar errores y vulnerabilidades), premiándoles para que den la oportunidad a las compañías de solventarlos antes de que se hagan públicos. Estas iniciativas reciben el nombre de ‘bug bounty programs‘.

Existen estudios (como éste elaborado por varios investigadores de la Univ. de California) que basándose en casos reales como Mozilla Firefox y Google Chrome señalan que esta nueva apuesta por las recompensas económicas es más barata y eficiente que las antiguas estrategias basadas en la contratación eventual de consultores externos. También ha quedado demostrada su superioridad frente a enfoques basados en la automatización de las revisiones de código.

Los bugs: un nicho de mercado con sus propias startups

La lista de gigantes tecnológicos que han apostado por los ‘bug bounty programs’ incluye a compañías como Google Facebook, Dropbox, PayPal, Yahoo, Tesla o Microsoft. Pero el uso de dichos programas se está convirtiendo en una tendencia en toda la industria tecnológica, al margen del tamaño de cada empresa. De modo que varias de ellas han decidido externalizar la gestión de sus ‘bug bounty programs’, dando pie al nacimiento una nutrida nueva generación de startups dedicadas hacerse cargo de esas tareas, como Crowdcurity, BugCrowd, SYNACK, Bug Bounty HQ o la ya citada Hacker One.

“Ha cambiado la manera en que pensamos acerca de la seguridad”, afirmaba hace unos meses en The Verge Andrew Pila, director de tecnología de Vimeo: “Hubiera sido imposible para nosotros construir internamente y desde cero un programa de este tipo”. The Verge explicaba muy bien el dilema al que se enfrentan las empresas: “La creación de una masa crítica de investigadores de confianza requiere desembolsar grandes cantidades de dinero. Pero [Andrew] era reacio a pagar a gente que no conocía y en la que no confiaba, sobre todo si se trataba de una turba anónima de hackers adolescentes”.

Michael Prins, Jobert Abma y Merijn Terheggen decidieron co-fundar HackerOne en 2012, un año después de observar las reacciones de 100 empresas tecnológicas (entre ellas Google, Microsoft, Apple o Facebook) de las que ambos habían hallado vulnerabilidades de seguridad. Ninguna les recompensó por sus servicios, sino que en su mayor parte optaron por ignorar su aviso.

Hoy en día, la CPO de su compañía es Katie Moussouris, antigua responsable del programa de recompensas de Microsoft, y cuentan con clientes como Adobe, Yahoo, LinkedIn, Airbnb, Slack o Twitter. Además, a fecha de junio de 2015 su plataforma había ayudado a identificar 10.000 vulnerabilidades, y había invertido 3 millones de dólares en recompensas a los miembros de la comunidad hacker.

Algunos ejemplos: de Netscape a Microsoft

El primero de estos programas fue implementado por Jarrett Ridlinghafer, en su etapa como directivo de Netscape Communications, a mediados de los años 90. La Fundación Mozilla, heredera directa del proyecto de Netscape, también cuenta con uno de los ‘bug bounty programs’ más veteranos en activo. Empezó en 2004 ofreciendo 500 $ a los investigadores que localizaran vulnerabilidades críticas en su navegador Firefox. Hoy en día, las recompensas son sustancialmente mayores (entre 3.000 y 10.000 dólares) y la Fundación ha invertido ya 1,6 millones de dólares en su programa.

Google lanzó el suyo, bajo el nombre de Google Vulnerability Reward Program, en 2010, y ofrece recompensas de entre 100 y 20.000 $. Los investigadores que deseen participar sólo tienen que registrarse en bughunter.withgoogle.com, y si sus contribuciones son destacables pueden optar a aparecer en el ‘Salón de la Fama‘.

Facebook, por su parte, lanzó su programa un año después, en 2011, y ofrece unas recompensas aún más suculentas: la mínima es de 500 $ y no exista recompensa máxima… a gran vulnerabilidad, gran retribución.

Más recientes son los inicios del Online Services Bug Bounty Program de Microsoft: desde su inicio en 2014 hasta hace unos meses, habían invertido 300.000 $ en recompensas.

Imagen | vignesh kumar

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.